BitLocker グループ ポリシー設定

適用対象:

  • Windows 10
  • Windows 11
  • Windows Server 2016 以上

IT プロフェッショナル向けのこの記事では、BitLocker ドライブ暗号化の管理に使用される各グループ ポリシー設定の機能、場所、効果について説明します。

グループ ポリシー管理用テンプレートまたはローカル コンピューター ポリシー設定を使用して、BitLocker ドライブの暗号化タスクと構成をユーザーが実行できる (たとえば、BitLocker ドライブ暗号化) コントロール パネルを使用して制御できます。 これらのポリシーのうち、どのポリシーを構成するかは、BitLocker の実装方法とエンド ユーザーに必要な操作のレベルによって異なります。

個別のグループ ポリシー設定セットでは、トラステッド プラットフォーム モジュール (TPM) の使用がサポートされています。 これらの設定の詳細については、「トラステッド プラットフォーム モジュールのグループ ポリシー設定」を参照してください。

BitLocker グループ ポリシー設定には、ローカル グループ ポリシー エディターと、コンピューター構成>管理テンプレート>Windows コンポーネント>の BitLocker ドライブ暗号化の下にあるグループ ポリシー管理コンソール (GPMC) を使用してアクセスできます。

BitLocker グループ ポリシー設定のほとんどは、ドライブに対して BitLocker が最初にオンになったときに適用されます。 コンピューターが既存のグループ ポリシー設定に準拠していない場合は、BitLocker がオンになっていないか、コンピューターが準拠状態になるまで BitLocker の構成が変更される可能性があります。 ドライブがグループ ポリシー設定に準拠しなくなると、コンプライアンスに移行する BitLocker 構成に対する変更のみが許可されます。 このシナリオは、たとえば、以前に暗号化されたドライブが、グループ ポリシー設定の変更によってコンプライアンスから抜け出された場合に発生する可能性があります。

ドライブをコンプライアンスに移行するために複数の変更が必要な場合は、BitLocker 保護を中断し、必要な変更を加えてから保護を再開する必要があります。 この状況は、たとえば、リムーバブル ドライブが最初にパスワードを使用してロック解除するように構成されているが、パスワードを禁止し、スマート カードを必要とするようにグループ ポリシー設定が変更された場合に発生する可能性があります。 このような場合は、 Manage-bde コマンド ライン ツールを使用して BitLocker 保護を中断し、パスワード ロック解除方法を削除し、スマート カードメソッドを追加する必要があります。 このプロセスが完了すると、BitLocker はグループ ポリシー設定に準拠し、ドライブの BitLocker 保護を再開できます。

他のシナリオでは、ドライブをグループ ポリシー設定の変更に準拠させるために、BitLocker を無効にし、ドライブの暗号化を解除してから BitLocker を再び有効にしてから、ドライブを再暗号化する必要がある場合があります。 このシナリオの例としては、BitLocker 暗号化方法または暗号強度が変更された場合があります。 このシナリオでは 、Manage-bde コマンド ラインを使用して、デバイスのコンプライアンスを実現することもできます。

BitLocker グループ ポリシー設定の詳細

BitLocker の有効化に関連する Active Directory 構成の詳細については、「BitLocker 用の MDT を設定する」を参照してください。

次のセクションでは、使用状況別に整理された BitLocker グループ ポリシー設定の包括的な一覧を示します。 BitLocker グループ ポリシー設定には、特定のドライブの種類 (オペレーティング システム ドライブ、固定データ ドライブ、リムーバブル データ ドライブ) の設定と、すべてのドライブに適用される設定が含まれます。

次のポリシー設定を使用して、BitLocker で保護されたドライブのロックを解除する方法を決定できます。

次のポリシー設定は、ユーザーがドライブにアクセスする方法と、コンピューターで BitLocker を使用する方法を制御するために使用されます。

次のポリシー設定は、BitLocker で使用される暗号化方法と暗号化の種類を決定します。

次のポリシー設定では、認証方法が失敗した場合、または使用できない場合に BitLocker で保護されたドライブへのアクセスを復元するために使用できる回復方法を定義します。

次のポリシーは、組織内のカスタマイズされた展開シナリオをサポートするために使用されます。

セキュア ブートと保護された DMA ポートを持つデバイスがプレブート PIN をオプトアウトすることを許可する

項目 Info
ポリシーの説明 このポリシー設定を使用すると、以前のデバイスで PIN を必要としながら、モダン スタンバイや HSTI をサポートするデバイスなど、より新しいセキュリティで保護されたデバイスに対して TPM のみの保護を許可できます。
導入 Windows 10 Version 1703
ドライブの種類 オペレーティング システム ドライブ
ポリシーのパス コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化>オペレーティング システム ドライブ
競合 この設定は、準拠しているハードウェアのスタートアップ 時に追加認証を要求するポリシーの TPM を使用してスタートアップ PIN を要求するオプションをオーバーライドします。
有効になっている場合 モダン スタンバイおよび HSTI 準拠デバイスのユーザーは、プレブート認証なしで BitLocker を有効にできます。
無効になっているか、構成されていない場合 [スタートアップ時に追加認証を要求する] ポリシーのオプションが適用されます。

リファレンス: セキュア ブートと保護された DMA ポートを持つデバイスがプレブート PIN をオプトアウトすることを許可する

プレブート認証オプション [スタートアップ時に追加認証を必要とする] ポリシーの TPM を使用したスタートアップ PIN が必要になることは、多くの場合、モダン スタンバイをサポートしていない古いデバイスのセキュリティを確保するために有効になっています。 ただし、視覚障害のあるユーザーには、PIN を入力するタイミングを知る可聴の方法はありません。 この設定により、セキュリティで保護されたハードウェアに対する PIN 必須ポリシーの例外が有効になります。

起動時にネットワークロック解除を許可する

このポリシーは、BitLocker のネットワーク ロック解除機能の動作の一部を制御します。 このポリシーは、BitLocker を実行しているクライアントが暗号化中に必要なネットワーク キー 保護機能を作成できるため、ネットワーク上で BitLocker ネットワークロック解除を有効にするために必要です。

このポリシーは、信頼されたネットワークに接続されているシステムがネットワーク ロック解除機能を適切に利用できるようにするために、BitLocker ドライブ暗号化ネットワークロック解除証明書セキュリティ ポリシー (ローカル コンピューター ポリシーの [公開キー ポリシー] フォルダーにあります) と共に使用されます。

項目 Info
ポリシーの説明 このポリシー設定を使用すると、信頼されたローカル エリア ネットワークに接続され、ドメインに参加している BitLocker で保護されたコンピューターが TPM 対応コンピューターでネットワーク キー 保護機能を作成して使用して、コンピューターの起動時にオペレーティング システム ドライブのロックを自動的に解除できるかどうかを制御できます。
導入 Windows Server 2012 と Windows 8
ドライブの種類 オペレーティング システム ドライブ
ポリシーのパス コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化>オペレーティング システム ドライブ
競合 なし
有効になっている場合 BitLocker ネットワーク ロック解除証明書で構成されたクライアントは、ネットワーク キー 保護機能を作成して使用できます。
無効になっているか、構成されていない場合 クライアントは、ネットワーク キー 保護機能を作成して使用できません。

リファレンス: 起動時にネットワークロック解除を許可する

ネットワーク キー 保護機能を使用してコンピューターのロックを解除するには、BitLocker ドライブ暗号化ネットワークロック解除をホストするコンピューターとサーバーを、ネットワーク ロック解除証明書でプロビジョニングする必要があります。 ネットワーク ロック解除証明書は、ネットワーク キー 保護機能を作成し、コンピューターのロックを解除するためにサーバーとの情報交換を保護するために使用されます。 [コンピューターの構成>] [Windows の設定]> [セキュリティ>設定] [公開キー ポリシー>][BitLocker ドライブ暗号化ネットワークロック解除証明書] のグループ ポリシーは、ドメイン コントローラーで使用して、この証明書を組織内のコンピューターに配布できます。 このロック解除方法では、コンピューター上の TPM が使用されるため、TPM を持たないコンピューターでは、ネットワーク ロック解除を使用して自動的にロックを解除するネットワーク キー 保護機能を作成できません。

信頼性とセキュリティを確保するには、コンピューターが有線ネットワークから切断されたとき、または起動時にドメイン コントローラーに接続できない場合に使用できる TPM スタートアップ PIN も必要です。

ネットワーク ロック解除機能の詳細については、「 BitLocker: ネットワーク ロック解除を有効にする方法」を参照してください。

起動時に追加認証を要求する

このポリシー設定は、オペレーティング システム ドライブで使用できるロック解除オプションを制御するために使用されます。

項目 Info
ポリシーの説明 このポリシー設定を使用すると、コンピューターの起動時に BitLocker に追加認証が必要かどうか、および BitLocker をトラステッド プラットフォーム モジュール (TPM) で使用するかどうかを構成できます。 このポリシー設定は、BitLocker がオンになっているときに適用されます。
導入 Windows Server 2008 R2 および Windows 7
ドライブの種類 オペレーティング システム ドライブ
ポリシーのパス コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化>オペレーティング システム ドライブ
競合 1 つの認証方法が必要な場合、他の方法は許可されません。 [BitLocker によって 保護されていないリムーバブル ドライブへの書き込みアクセスを拒否 する] ポリシー設定が有効になっている場合、TPM スタートアップ キーまたは TPM スタートアップ キーと PIN での BitLocker の使用を禁止する必要があります。
有効になっている場合 ユーザーは、BitLocker セットアップ ウィザードで高度なスタートアップ オプションを構成できます。
無効になっているか、構成されていない場合 ユーザーは、TPM を使用するコンピューターでのみ基本的なオプションを構成できます。

起動時に必要となる追加の認証オプションは 1 つだけです。それ以外の場合は、ポリシー エラーが発生します。

リファレンス: 起動時に追加の認証を要求する

TPM のないコンピューターで BitLocker を使用する必要がある場合は、[ 互換性のある TPM なしで BitLocker を許可する] を選択します。 このモードでは、起動時にパスワードまたは USB ドライブが必要です。 USB ドライブには、ドライブの暗号化に使用されるスタートアップ キーが格納されます。 USB ドライブが挿入されると、スタートアップ キーが認証され、オペレーティング システム ドライブにアクセスできます。 USB ドライブが紛失した場合、または使用できない場合は、ドライブにアクセスするために BitLocker 回復が必要です。

互換性のある TPM を持つコンピューターでは、起動時に追加の認証方法を使用して、暗号化されたデータの保護を強化できます。 コンピューターが起動すると、次のものを使用できます。

  • TPM のみ
  • 起動キーを含む USB フラッシュ ドライブの挿入
  • 4 桁から 20 桁の個人識別番号 (PIN) の入力
  • PIN と USB フラッシュ ドライブの組み合わせ

TPM 対応コンピューターまたはデバイスには、次の 4 つのオプションがあります。

  • TPM の起動を構成する

    • TPM を許可する
    • TPM が必要
    • TPM を許可しない
  • TPM スタートアップ PIN を構成する

    • TPM でスタートアップ PIN を許可する
    • TPM でスタートアップ PIN を要求する
    • TPM でスタートアップ PIN を許可しない
  • TPM スタートアップ キーを構成する

    • TPM でスタートアップ キーを許可する
    • TPM でスタートアップ キーを要求する
    • TPM でスタートアップ キーを許可しない
  • TPM スタートアップ キーと PIN を構成する

    • PIN で TPM スタートアップ キーを許可する
    • TPM を使用してスタートアップ キーと PIN を要求する
    • PIN で TPM スタートアップ キーを許可しない

起動時に拡張 PIN を許可する

このポリシー設定では、PIN を含むロック解除方法を使用する場合に拡張 PIN を使用できます。

項目 Info
ポリシーの説明 このポリシー設定を使用すると、拡張スタートアップ PIN を BitLocker で使用するかどうかを構成できます。
導入 Windows Server 2008 R2 および Windows 7
ドライブの種類 オペレーティング システム ドライブ
ポリシーのパス コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化>オペレーティング システム ドライブ
競合 なし
有効になっている場合 設定されているすべての新しい BitLocker スタートアップ PIN は、拡張 PIN になります。 標準のスタートアップ PIN を使用して保護された既存のドライブは影響を受けません。
無効になっているか、構成されていない場合 拡張 PIN は使用されません。

リファレンス: 起動時に拡張 PIN を許可する

拡張スタートアップ PIN を使用すると、文字 (大文字と小文字、記号、数字、スペースを含む) を使用できます。 このポリシー設定は、BitLocker がオンになっているときに適用されます。

重要

すべてのコンピューターで、プリブート環境で拡張 PIN 文字がサポートされているわけではありません。 強化された PIN 文字を使用できることを確認するために、BitLocker のセットアップ中にユーザーがシステム チェックを実行することを強くお勧めします。

起動時に PIN の最小長を構成する

このポリシー設定は、PIN を含むロック解除方法を使用する場合に、PIN の最小長を設定するために使用されます。

項目 Info
ポリシーの説明 このポリシー設定を使用すると、TPM スタートアップ PIN の最小長を構成できます。 このポリシー設定は、BitLocker がオンになっているときに適用されます。 スタートアップ PIN の長さは 4 桁以上で、最大長は 20 桁です。 既定では、PIN の最小長は 6 です。
導入 Windows Server 2008 R2 および Windows 7
ドライブの種類 オペレーティング システム ドライブ
ポリシーのパス コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化>オペレーティング システム ドライブ
競合 なし
有効になっている場合 ユーザーが設定するスタートアップ PIN の必要な最小長は、4 桁から 20 桁の間で設定できます。
無効になっているか、構成されていない場合 ユーザーは、6 桁から 20 桁の任意の長さのスタートアップ PIN を構成できます。

リファレンス: 起動時に PIN の最小長を構成する

このポリシー設定は、BitLocker がオンになっているときに適用されます。 スタートアップ PIN の長さは 4 桁以上で、最大長は 20 桁です。

もともと BitLocker では、PIN の長さは 4 文字から 20 文字でした。 Windows Helloにはサインイン用の独自の PIN があり、その長さは 4 文字から 127 文字です。 BitLocker と Windows Helloの両方で TPM を使用して、PIN ブルート フォース攻撃を防ぎます。

TPM は、ディクショナリ攻撃防止パラメーター (ロックアウトしきい値とロックアウト期間) を使用して、TPM がロックアウトされるまでに許可される失敗した承認試行の数と、別の試行が実行されるまでに経過する必要がある時間を制御するように構成できます。

ディクショナリ攻撃防止パラメーターを使用すると、セキュリティニーズと使いやすさのバランスを取ることができます。 たとえば、TPM + PIN 構成で BitLocker を使用する場合、PIN 推測の数は時間の経過と共に制限されます。 この例の TPM 2.0 は、すぐに 32 個の PIN 推測のみを許可し、2 時間ごとにさらに 1 つの推測のみを許可するように構成できます。 この試行回数は、年間最大約 4415 回の推測に合計されます。 PIN が 4 桁の場合、9999 個の PIN の組み合わせはすべて 2 年余りで試行される可能性があります。

PIN の長さを長くするには、攻撃者にとってより多くの推測が必要です。 その場合、正当なユーザーが同様のレベルの保護を維持しながら、失敗した試行をより早く再試行できるように、各推測間のロックアウト期間を短縮できます。

バージョン 1703 Windows 10以降、BitLocker PIN の最小長は 6 文字に増やされ、WINDOWS HELLOを含む TPM 2.0 を使用する他の Windows 機能との整合が向上しました。 2017 年 10 月の累積的な更新プログラムがインストールされたWindows 10バージョン 1709 および Windows 10バージョン 1703 バージョン 1703 以降の移行を支援するために、BitLocker PIN の長さは既定で 6 文字ですが、4 文字に短縮できます。 PIN の最小長が既定の 6 文字から短い場合、TPM 2.0 ロックアウト期間が延長されます。

このコンピューターがロックされているときに新しい DMA デバイスを無効にする

このポリシー設定では、ユーザーが Windows にサインインするまで、すべてのホット プラグ可能な PCI ポートに対してダイレクト メモリ アクセス (DMA) をブロックできます。

項目 Info
ポリシーの説明 この設定は、外部 PCI ベースのデバイスを使用して BitLocker キーにアクセスする攻撃を防ぐのに役立ちます。
導入 Windows 10 Version 1703
ドライブの種類 オペレーティング システム ドライブ
ポリシーのパス コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化
競合 なし
有効になっている場合 ユーザーが画面をロックするたびに、ユーザーが再度サインインするまで、ホット プラグ可能な PCI ポートで DMA がブロックされます。
無効になっているか、構成されていない場合 DMA は、ユーザーがサインインしているかどうかに関係なく、デバイスがオンになっている場合、ホット プラグ可能な PCI デバイスで使用できます。

リファレンス: このコンピューターがロックされているときに新しい DMA デバイスを無効にする

このポリシー設定は、BitLocker またはデバイスの暗号化が有効になっている場合にのみ適用されます。 Microsoft セキュリティ ガイダンス ブログで説明されているように、この設定が有効になっている場合、場合によっては、ワイヤレス ネットワーク ドライバーや入力およびオーディオ周辺機器など、PCI ベースの内部周辺機器が失敗することがあります。 この問題は、 2018 年 4 月の品質更新プログラムで修正されています。

標準ユーザーが PIN またはパスワードを変更できないようにする

このポリシー設定では、オペレーティング システム ドライブの保護に使用される PIN またはパスワードを標準ユーザーが変更できるかどうかを構成できます。

項目 Info
ポリシーの説明 このポリシー設定を使用すると、標準ユーザーがオペレーティング システム ドライブを保護するために使用する PIN またはパスワードの変更を許可するかどうかを構成できます。
導入 Windows Server 2012 と Windows 8
ドライブの種類 オペレーティング システム ドライブ
ポリシーのパス コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化>オペレーティング システム ドライブ
競合 なし
有効になっている場合 標準ユーザーは、BitLocker PIN またはパスワードの変更を許可されていません。
無効になっているか、構成されていない場合 標準ユーザーは、BitLocker PIN またはパスワードを変更できます。

リファレンス: 標準ユーザーが PIN またはパスワードを変更できないようにする

PIN またはパスワードを変更するには、ユーザーが現在の PIN またはパスワードを指定できる必要があります。 このポリシー設定は、BitLocker がオンになっているときに適用されます。

オペレーティング システム ドライブのパスワードの使用を構成する

このポリシーは、TPM ベース以外のシステムがパスワード 保護機能を利用する方法を制御します。 パスワードで使用する 場合は、複雑さの要件ポリシーを満たす必要があります 。このポリシーを使用すると、管理者はパスワード保護機能を使用するためにパスワードの長さと複雑さを要求できます。 既定では、パスワードの長さは 8 文字にする必要があります。 複雑な構成オプションは、クライアントにとってドメイン接続の重要度を決定します。 最も強力なパスワード セキュリティを実現するには、ドメイン接続が必要であり、BitLocker パスワードがドメイン サインイン パスワード と同じパスワードの複雑さの要件を満たしている必要があるため、管理者は [パスワードの複雑さが必要] を選択する必要があります。

項目 Info
ポリシーの説明 このポリシー設定では、BitLocker で保護されているオペレーティング システム ドライブのロックを解除するために使用されるパスワードの制約を指定できます。
導入 Windows Server 2012 と Windows 8
ドライブの種類 オペレーティング システム ドライブ
ポリシーのパス コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化>オペレーティング システム ドライブ
競合 FIPS コンプライアンスが有効になっている場合、パスワードは使用できません。
メモ:[システム暗号化: 暗号化、ハッシュ、署名に FIPS 準拠のアルゴリズムを使用する] ポリシー設定。[コンピューターの構成>] [Windows 設定][セキュリティ設定>] > [ローカル ポリシー>]のセキュリティ オプションでは、FIPS 準拠が有効かどうかを指定します。
有効になっている場合 ユーザーは、定義された要件を満たすパスワードを構成できます。 パスワードの複雑さの要件を適用するには、[ 複雑さが必要] を選択します。
無効になっているか、構成されていない場合 8 文字の既定の長さの制約はオペレーティング システム ドライブのパスワードに適用され、複雑さのチェックは行われません。

リファレンス: オペレーティング システム ドライブのパスワードの使用を構成する

オペレーティング システム ドライブで TPM 以外の保護機能が許可されている場合は、パスワード、パスワードの複雑さの要件の適用、およびパスワードの最小長の構成をすべてプロビジョニングできます。 複雑さの要件設定を有効にするには、グループ ポリシー設定 [パスワード] が複雑な要件を満たす必要があります。これは、コンピューターの構成>Windows 設定の [セキュリティ設定>>] [アカウント ポリシー>] [パスワード ポリシー] も有効にする必要があります。

これらの設定は、ボリュームのロックを解除するときではなく、BitLocker をオンにするときに適用されます。 BitLocker を使用すると、ドライブで使用可能な保護機能を使用してドライブのロックを解除できます。

[ 複雑さが必要] に設定されている場合、パスワードの複雑さを検証するために BitLocker が有効になっている場合は、ドメイン コントローラーへの接続が必要です。 [ 複雑さを許可する] に設定されている場合、ドメイン コントローラーへの接続は、複雑さがポリシーによって設定された規則に準拠していることを検証しようとします。 ドメイン コントローラーが見つからない場合は、実際のパスワードの複雑さに関係なくパスワードが受け入れられ、そのパスワードを保護機能として使用してドライブが暗号化されます。 [複雑さを許可しない] に設定すると、パスワードの複雑さの検証はありません。

パスワードは少なくとも 8 文字にする必要があります。 パスワードの最小長を大きく構成するには、[最小 パスワード 長] ボックスに目的の文字数を入力します。

このポリシー設定を有効にすると、[ オペレーティング システム ドライブのパスワードの複雑さを構成する] オプションを次のように設定できます。

  • パスワードの複雑さを許可する
  • パスワードの複雑さを拒否する
  • パスワードの複雑さを要求する

起動時に追加認証を要求する (Windows Server 2008 および Windows Vista)

このポリシー設定は、Windows Server 2008 または Windows Vista を実行しているコンピューターで使用できるロック解除オプションを制御するために使用されます。

項目 Info
ポリシーの説明 このポリシー設定を使用すると、Windows Vista または Windows Server 2008 を実行しているコンピューターの BitLocker セットアップ ウィザードで、コンピューターが起動するたびに必要な追加の認証方法を設定できるかどうかを制御できます。
導入 Windows Server 2008 と Windows Vista
ドライブの種類 オペレーティング システム ドライブ (Windows Server 2008 および Windows Vista)
ポリシーのパス コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化>オペレーティング システム ドライブ
競合 追加の認証方法を選択した場合、他の認証方法は許可されません。
有効になっている場合 BitLocker セットアップ ウィザードには、ユーザーが BitLocker の高度なスタートアップ オプションを構成できるページが表示されます。 TPM の有無にかかわらず、コンピューターに対して設定オプションをさらに構成できます。
無効になっているか、構成されていない場合 BitLocker セットアップ ウィザードには、ユーザーが TPM を使用するコンピューターで BitLocker を有効にするための基本的な手順が表示されます。 この基本ウィザードでは、追加のスタートアップ キーまたはスタートアップ PIN を構成できません。

リファレンス: 起動時に追加認証を要求する (Windows Server 2008 および Windows Vista)

互換性のある TPM を持つコンピューターでは、起動時に 2 つの認証方法を使用して、暗号化されたデータの保護を強化できます。 コンピューターを起動すると、スタートアップ キーを含む USB ドライブを挿入するようにユーザーに求めることができます。 また、6 桁から 20 桁の長さのスタートアップ PIN を入力するようにユーザーに求めることもできます。

互換性のある TPM がないコンピューターでは、スタートアップ キーを含む USB ドライブが必要です。 TPM がないと、BitLocker で暗号化されたデータは、この USB ドライブ上のキー マテリアルによってのみ保護されます。

TPM 対応コンピューターまたはデバイスには、次の 2 つのオプションがあります。

  • TPM スタートアップ PIN を構成する

    • TPM でスタートアップ PIN を許可する
    • TPM でスタートアップ PIN を要求する
    • TPM でスタートアップ PIN を許可しない
  • TPM スタートアップ キーを構成する

    • TPM でスタートアップ キーを許可する
    • TPM でスタートアップ キーを要求する
    • TPM でスタートアップ キーを許可しない

これらのオプションは相互に排他的です。 スタートアップ キーが必要な場合、スタートアップ PIN は許可されません。 スタートアップ PIN が必要な場合、スタートアップ キーは許可されません。 これらのポリシーが競合している場合は、ポリシー エラーが発生します。

TPM 対応コンピューターまたはデバイスの詳細ページを非表示にするには、これらのオプションを [スタートアップ キーとスタートアップ PIN を 許可しない ] に設定します。

固定データ ドライブでのスマート カードの使用を構成する

このポリシー設定は、固定データ ドライブでのスマート カードの使用を要求、許可、または拒否するために使用されます。

項目 Info
ポリシーの説明 このポリシー設定を使用して、コンピューター上の BitLocker で保護された固定データ ドライブへのユーザー アクセスを認証するためにスマート カードを使用できるかどうかを指定できます。
導入 Windows Server 2008 R2 および Windows 7
ドライブの種類 固定データ ドライブ
ポリシーのパス コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化>固定データ ドライブ
競合 BitLocker でスマート カードを使用するには、 コンピューターの構成\管理用テンプレート\BitLocker ドライブ暗号化\スマート カード証明書の使用規則のコンプライアンス ポリシー設定のオブジェクト識別子の設定を、スマート カード証明書のオブジェクト識別子と一致するように変更する必要がある場合があります。
有効になっている場合 スマート カードを使用して、ドライブへのユーザー アクセスを認証できます。 [ 固定データ ドライブでスマート カードを使用する必要がある ] チェック ボックスをオンにすると、スマート カード認証が必要になる場合があります。
無効にした場合 ユーザーはスマート カードを使用して、BitLocker で保護された固定データ ドライブへのアクセスを認証できません。
構成されていない場合 スマート カードを使用して、BitLocker で保護されたドライブへのユーザー アクセスを認証できます。

リファレンス: 固定データ ドライブでのスマート カードの使用を構成する

これらの設定は、ドライブのロックを解除する場合ではなく、BitLocker をオンにするときに適用されます。 BitLocker を使用すると、ドライブで使用可能な保護機能のいずれかを使用してドライブのロックを解除できます。

固定データ ドライブでのパスワードの使用を構成する

このポリシー設定は、固定データ ドライブでのパスワードの使用を要求、許可、または拒否するために使用されます。

項目 Info
ポリシーの説明 このポリシー設定では、BitLocker で保護された固定データ ドライブのロックを解除するためにパスワードが必要かどうかを指定できます。
導入 Windows Server 2008 R2 および Windows 7
ドライブの種類 固定データ ドライブ
ポリシーのパス コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化>固定データ ドライブ
競合 パスワードの複雑さを使用するには、 コンピューターの構成\Windows 設定\セキュリティ設定\アカウント ポリシー\パスワード ポリシー\パスワードが複雑な要件を満たす必要があります 。ポリシー設定も有効にする必要があります。
有効になっている場合 ユーザーは、定義された要件を満たすパスワードを構成できます。 パスワードの使用を要求するには、[ 固定データ ドライブにパスワードを要求する] を選択します。 パスワードに複雑さの要件を適用するには、[ 複雑さが必要] を選択します。
無効にした場合 ユーザーはパスワードの使用を許可されていません。
構成されていない場合 パスワードは、パスワードの複雑さの要件を含まず、8 文字しか必要としない既定の設定でサポートされています。

リファレンス: 固定データ ドライブでのパスワードの使用を構成する

[ 複雑さが必要] に設定されている場合は、BitLocker が有効になっているときにパスワードの複雑さを検証するために、ドメイン コントローラーへの接続が必要です。

[ 複雑さを許可する] に設定されている場合、ドメイン コントローラーへの接続は、複雑さがポリシーによって設定された規則に準拠していることを検証しようとします。 ただし、ドメイン コントローラーが見つからない場合は、実際のパスワードの複雑さに関係なくパスワードが受け入れられ、そのパスワードを保護機能として使用してドライブが暗号化されます。

[複雑さを許可しない] に設定すると、パスワードの複雑さの検証は実行されません。

パスワードは少なくとも 8 文字にする必要があります。 パスワードの最小長を大きく構成するには、[最小 パスワード 長] ボックスに目的の文字数を入力します。

これらの設定は、ドライブのロックを解除する場合ではなく、BitLocker をオンにするときに適用されます。 BitLocker を使用すると、ドライブで使用可能な保護機能を使用してドライブのロックを解除できます。

複雑さの要件設定を有効にするには、[コンピューターの構成>] [Windows の設定][セキュリティ設定>>] アカウント ポリシー> [パスワード ポリシー> パスワード] が複雑な要件を満たす必要があるグループ ポリシー設定も有効にする必要があります。 このポリシー設定は、コンピューターごとに構成されます。 ポリシー設定は、ローカル ユーザー アカウントとドメイン ユーザー アカウントの両方にも適用されます。 パスワードの複雑さを検証するために使用されるパスワード フィルターはドメイン コントローラー上にあるため、ローカル ユーザー アカウントはドメイン アクセスに対して認証されていないため、パスワード フィルターにアクセスできません。 このポリシー設定を有効にすると、ローカル ユーザー アカウントがサインインし、ドライブを暗号化しようとした場合、または既存の BitLocker で保護されたドライブでパスワードを変更しようとすると、 アクセス拒否 エラー メッセージが表示されます。 この状況では、パスワード キー保護機能をドライブに追加できません。

このポリシー設定を有効にするには、BitLocker で保護されたドライブにパスワード キー 保護機能を追加する前に、デバイスがドメインに接続されている必要があります。 リモートで作業し、ドメインに接続できない期間があるユーザーは、ドメインに接続する時間をスケジュールして BitLocker を有効にしたり、BitLocker で保護されたデータ ドライブのパスワードを変更したりできるように、この要件を認識する必要があります。

重要

FIPS コンプライアンスが有効になっている場合、パスワードは使用できません。 [システム暗号化: 暗号化、ハッシュ、署名に FIPS 準拠のアルゴリズムを使用する] ポリシー設定 [コンピューターの構成>] [Windows 設定][セキュリティ設定>>][ローカル ポリシー>] セキュリティ オプションでは、FIPS コンプライアンスが有効かどうかを指定します。

リムーバブル データ ドライブでのスマート カードの使用を構成する

このポリシー設定は、リムーバブル データ ドライブでのスマート カードの使用を要求、許可、または拒否するために使用されます。

項目 Info
ポリシーの説明 このポリシー設定を使用して、コンピューター上の BitLocker で保護されたリムーバブル データ ドライブへのユーザー アクセスを認証するためにスマート カードを使用できるかどうかを指定できます。
導入 Windows Server 2008 R2 および Windows 7
ドライブの種類 リムーバブル データ ドライブ
ポリシーのパス コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化>リムーバブル データ ドライブ
競合 BitLocker でスマート カードを使用するには、[コンピューターの構成>] [管理用テンプレート>][BitLocker ドライブ暗号化>の検証] スマート カード証明書の使用規則のコンプライアンス ポリシー設定のオブジェクト識別子の設定も、スマート カード証明書のオブジェクト識別子と一致するように変更する必要があります。
有効になっている場合 スマート カードを使用して、ドライブへのユーザー アクセスを認証できます。 [ リムーバブル データ ドライブでスマート カードを使用する必要がある] チェック ボックスをオンにすると、スマート カード認証が必要 になります。
無効になっているか、構成されていない場合 ユーザーは、BitLocker で保護されたリムーバブル データ ドライブへのアクセスを認証するためにスマート カードを使用することはできません。
構成されていない場合 スマート カードは、BitLocker で保護されたリムーバブル データ ドライブへのユーザー アクセスを認証するために使用できます。

リファレンス: リムーバブル データ ドライブでのスマート カードの使用を構成する

これらの設定は、ドライブのロックを解除する場合ではなく、BitLocker をオンにするときに適用されます。 BitLocker を使用すると、ドライブで使用可能な保護機能を使用してドライブのロックを解除できます。

リムーバブル データ ドライブでのパスワードの使用を構成する

このポリシー設定は、リムーバブル データ ドライブでのパスワードの使用を要求、許可、または拒否するために使用されます。

項目 Info
ポリシーの説明 このポリシー設定では、BitLocker で保護されたリムーバブル データ ドライブのロックを解除するためにパスワードが必要かどうかを指定できます。
導入 Windows Server 2008 R2 および Windows 7
ドライブの種類 リムーバブル データ ドライブ
ポリシーのパス コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化>リムーバブル データ ドライブ
競合 パスワードの複雑さを使用するには、 パスワードが複雑な要件ポリシー設定を満たす必要があります 。これは 、コンピューターの構成\Windows 設定\セキュリティ設定\アカウント ポリシー\パスワード ポリシー も有効にする必要があります。
有効になっている場合 ユーザーは、定義された要件を満たすパスワードを構成できます。 パスワードの使用を要求するには、[ リムーバブル データ ドライブにパスワードを要求する] を選択します。 パスワードに複雑さの要件を適用するには、[ 複雑さが必要] を選択します。
無効にした場合 ユーザーはパスワードの使用を許可されていません。
構成されていない場合 パスワードは、パスワードの複雑さの要件を含まず、8 文字しか必要としない既定の設定でサポートされています。

リファレンス: リムーバブル データ ドライブでのパスワードの使用を構成する

パスワードの使用が許可されている場合は、パスワードの使用を要求し、パスワードの複雑さの要件を適用し、パスワードの最小長をすべて構成できます。 複雑さの要件設定を有効にするには、グループ ポリシー設定 [パスワード] が複雑な要件を満たす必要があります。これは、コンピューターの構成>Windows 設定の [セキュリティ設定>>] [アカウント ポリシー>] [パスワード ポリシー] も有効にする必要があります。

これらの設定は、ドライブのロックを解除する場合ではなく、BitLocker をオンにするときに適用されます。 BitLocker を使用すると、ドライブで使用可能な保護機能を使用してドライブのロックを解除できます。

パスワードは少なくとも 8 文字にする必要があります。 パスワードの最小長を大きく構成するには、[最小 パスワード 長] ボックスに必要な文字数を入力します。

[ 複雑さが必要] に設定されている場合、パスワードの複雑さを検証するために BitLocker が有効になっている場合は、ドメイン コントローラーへの接続が必要です。

[ 複雑さを許可する] に設定されている場合、ドメイン コントローラーへの接続は、複雑さがポリシーによって設定された規則に準拠していることを検証しようとします。 ただし、ドメイン コントローラーが見つからない場合でも、パスワードは実際のパスワードの複雑さに関係なく受け入れられ、そのパスワードを保護機能として使用してドライブが暗号化されます。

[ 複雑さを許可しない] に設定すると、パスワードの複雑さの検証は行われません。

FIPS コンプライアンスが有効になっている場合、パスワードは使用できません。 [システム暗号化: 暗号化、ハッシュ、署名に FIPS 準拠のアルゴリズムを使用する] ポリシー設定 [コンピューターの構成>] [Windows 設定][セキュリティ設定>>][ローカル ポリシー>] セキュリティ オプションでは、FIPS コンプライアンスが有効かどうかを指定します。

この設定の詳細については、「 システム暗号化: 暗号化、ハッシュ、署名に FIPS 準拠アルゴリズムを使用する」を参照してください。

スマート カード証明書の使用規則のコンプライアンスを検証する

このポリシー設定は、BitLocker で使用する証明書を決定するために使用されます。

項目 Info
ポリシーの説明 このポリシー設定では、スマート カード証明書のオブジェクト識別子を BitLocker で保護されたドライブに関連付けることができます。
導入 Windows Server 2008 R2 および Windows 7
ドライブの種類 固定データ ドライブとリムーバブル データ ドライブ
ポリシーのパス コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化
競合 なし
有効になっている場合 [オブジェクト識別子] 設定で指定する オブジェクト識別子 は、スマート カード証明書のオブジェクト識別子と一致する必要があります。
無効になっているか、構成されていない場合 既定のオブジェクト識別子が使用されます。

リファレンス: スマート カード証明書の使用規則のコンプライアンスを検証する

このポリシー設定は、BitLocker がオンになっているときに適用されます。

オブジェクト識別子は、証明書の拡張キー使用法 (EKU) で指定されます。 BitLocker は、証明書内のオブジェクト識別子と、このポリシー設定で定義されているオブジェクト識別子を照合することで、BitLocker で保護されたドライブに対するユーザー証明書の認証に使用できる証明書を識別できます。

既定のオブジェクト識別子は 1.3.6.1.4.1.311.67.1.1 です。

BitLocker では、証明書に EKU 属性が必要ありません。ただし、証明書用に構成されている場合は、BitLocker 用に構成されたオブジェクト識別子と一致するオブジェクト識別子に設定する必要があります。

スレートでプリブート キーボード入力を必要とする BitLocker 認証の使用を有効にする

項目 Info
ポリシーの説明 このポリシー設定を使用すると、プラットフォームがプリブート入力機能の欠如を示している場合でも、プレブート環境からのユーザー入力を必要とする認証オプションを有効にできます。
導入 Windows Server 2012 と Windows 8
ドライブの種類 オペレーティング システム ドライブ
ポリシーのパス コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化>オペレーティング システム ドライブ
競合 なし
有効になっている場合 デバイスには、プリブート入力の代替手段 (USB キーボードなど) が必要です。
無効になっているか、構成されていない場合 BitLocker 回復パスワードの入力をサポートするには、タブレットで Windows Recovery Environment を有効にする必要があります。

リファレンス: スレートでプリブート キーボード入力を必要とする BitLocker 認証の使用を有効にする

Windows タッチ キーボード (タブレットで使用されるなど) は、BitLocker で PIN やパスワードなどの追加情報が必要なプレブート環境では使用できません。

管理者は、USB キーボードの接続など、プリブート入力の代替手段があることを確認されたデバイスに対してのみ、このポリシーを有効にすることをお勧めします。

Windows Recovery Environment (WinRE) が有効になっていないときに、このポリシーが有効になっていない場合、Windows タッチ キーボードを使用するデバイスで BitLocker をオンにすることはできません。

このポリシー設定が有効になっていない場合は、[ スタートアップ時に追加認証を要求する ] ポリシーの次のオプションを使用できない可能性があります。

  • TPM スタートアップ PIN の構成: 必須と許可
  • TPM スタートアップ キーと PIN の構成: 必須と許可
  • オペレーティング システム ドライブのパスワードの使用を構成する

BitLocker で保護されていない固定ドライブへの書き込みアクセスを拒否する

このポリシー設定は、書き込みアクセス権を付与する前に固定ドライブの暗号化を要求するために使用されます。

項目 Info
ポリシーの説明 このポリシー設定では、固定データ ドライブをコンピューターに書き込み可能にするために BitLocker 保護が必要かどうかを設定できます。
導入 Windows Server 2008 R2 および Windows 7
ドライブの種類 固定データ ドライブ
ポリシーのパス コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化>固定データ ドライブ
競合 競合の説明については、「リファレンス」セクションを参照してください。
有効になっている場合 BitLocker で保護されていない固定データ ドライブはすべて、読み取り専用としてマウントされます。 ドライブが BitLocker によって保護されている場合は、読み取りおよび書き込みアクセス権でマウントされます。
無効になっているか、構成されていない場合 コンピューター上のすべての固定データ ドライブは、読み取りおよび書き込みアクセス権でマウントされます。

リファレンス: BitLocker によって保護されていない固定ドライブへの書き込みアクセスを拒否する

このポリシー設定は、BitLocker がオンになっているときに適用されます。

競合に関する考慮事項は次のとおりです。

  1. このポリシー設定を有効にすると、暗号化されていない固定データ ドライブにデータを保存しようとすると、 アクセス拒否 エラー メッセージが表示されます。 その他の競合については、「リファレンス」セクションを参照してください。

  2. BdeHdCfg.exeこのポリシー設定が有効になっているときにコンピューターでを実行すると、次の問題が発生する可能性があります。

    • ドライブを圧縮してシステム ドライブを作成しようとした場合、ドライブのサイズは正常に縮小され、生パーティションが作成されます。 ただし、未加工のパーティションは書式設定されていません。 次のエラー メッセージが表示されます。 新しいアクティブ なドライブをフォーマットできません。BitLocker 用のドライブを手動で準備する必要がある場合があります。

    • 未割り当て領域を使用してシステム ドライブを作成しようとした場合は、生のパーティションが作成されます。 ただし、未加工のパーティションは書式設定されません。 次のエラー メッセージが表示されます。 新しいアクティブ なドライブをフォーマットできません。BitLocker 用のドライブを手動で準備する必要がある場合があります。

    • 既存のドライブをシステム ドライブにマージしようとした場合、ツールは必要なブート ファイルをターゲット ドライブにコピーしてシステム ドライブを作成できません。 次のエラー メッセージが表示されます。 BitLocker セットアップでブート ファイルのコピーに失敗しました。BitLocker 用のドライブを手動で準備する必要がある場合があります。

  3. このポリシー設定が適用されている場合、ドライブが保護されているため、ハード ドライブを再パーティション分割することはできません。 以前のバージョンの Windows から組織内のコンピューターをアップグレードしていて、それらのコンピューターが 1 つのパーティションで構成されている場合は、このポリシー設定をコンピューターに適用する前に、必要な BitLocker システム パーティションを作成する必要があります。

BitLocker で保護されていないリムーバブル ドライブへの書き込みアクセスを拒否する

このポリシー設定は、書き込みアクセスを許可する前にリムーバブル ドライブを暗号化する必要があり、別の組織で構成された BitLocker で保護されたリムーバブル ドライブを書き込みアクセスで開くことができるかどうかを制御するために使用されます。

項目 Info
ポリシーの説明 このポリシー設定を使用すると、コンピューターがリムーバブル データ ドライブにデータを書き込めるのに BitLocker 保護が必要かどうかを構成できます。
導入 Windows Server 2008 R2 および Windows 7
ドライブの種類 リムーバブル データ ドライブ
ポリシーのパス コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化>リムーバブル データ ドライブ
競合 競合の説明については、「リファレンス」セクションを参照してください。
有効になっている場合 BitLocker で保護されていないリムーバブル データ ドライブはすべて、読み取り専用としてマウントされます。 ドライブが BitLocker によって保護されている場合は、読み取りおよび書き込みアクセス権でマウントされます。
無効になっているか、構成されていない場合 コンピューター上のすべてのリムーバブル データ ドライブは、読み取りおよび書き込みアクセス権でマウントされます。

リファレンス: BitLocker によって保護されていないリムーバブル ドライブへの書き込みアクセスを拒否する

[別の組織で構成されたデバイスへの書き込みアクセスを拒否する] オプションが選択されている場合、コンピューターの識別フィールドに一致する識別フィールドを持つドライブにのみ書き込みアクセス権が付与されます。 リムーバブル データ ドライブにアクセスすると、有効な識別フィールドと許可されている識別フィールドがチェックされます。 これらのフィールドは、[ 組織の一意の識別子を指定する ] ポリシー設定で定義されます。

このポリシー設定は、[ユーザー構成>] [管理用テンプレート] [システム>リムーバブル 記憶域アクセス] の下の>ポリシー設定でオーバーライドできます。 [リムーバブル ディスク: 書き込みアクセスの拒否] ポリシー設定が有効になっている場合、このポリシー設定は無視されます。

競合に関する考慮事項は次のとおりです。

  1. [BitLocker によって 保護されていないリムーバブル ドライブへの書き込みアクセスを拒否 する] ポリシー設定が有効になっている場合、TPM とスタートアップ キー、または TPM と PIN とスタートアップ キーを使用した BitLocker の使用を禁止する必要があります。

  2. BitLocker で保護されていないリムーバブル ドライブへの書き込みアクセスを拒否するポリシー設定が有効になっている場合は、回復キーの使用を禁止する必要があります。

  3. の組織で 構成されたドライブに対して書き込みアクセスを拒否する必要がある場合は、[組織の一意識別子を指定する] ポリシー設定を有効にする必要があります。

リムーバブル ドライブでの BitLocker の使用を制御する

このポリシー設定は、ユーザーがリムーバブル データ ドライブで BitLocker のオンとオフを切り替えないようにするために使用されます。

項目 Info
ポリシーの説明 このポリシー設定を使用すると、リムーバブル データ ドライブでの BitLocker の使用を制御できます。
導入 Windows Server 2008 R2 および Windows 7
ドライブの種類 リムーバブル データ ドライブ
ポリシーのパス コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化>リムーバブル データ ドライブ
競合 なし
有効になっている場合 ユーザーが BitLocker を構成する方法を制御するプロパティ設定を選択できます。
無効にした場合 ユーザーは、リムーバブル データ ドライブで BitLocker を使用できません。
構成されていない場合 ユーザーは、リムーバブル データ ドライブで BitLocker を使用できます。

リファレンス: リムーバブル ドライブでの BitLocker の使用を制御する

このポリシー設定は、BitLocker がオンになっているときに適用されます。

BitLocker 保護の中断の詳細については、「 BitLocker Basic Deployment」を参照してください。

ユーザーが BitLocker を構成する方法を制御するプロパティ設定を選択するためのオプションは次のとおりです。

  • ユーザーがリムーバブル データ ドライブに BitLocker 保護を適用できるようにする ユーザーがリムーバブル データ ドライブで BitLocker セットアップ ウィザードを実行できるようにします。

  • リムーバブル データ ドライブでの BitLocker の一時停止と暗号化解除をユーザーに許可 するユーザーがドライブから BitLocker を削除したり、メンテナンスの実行中に暗号化を中断したりすることができます。

ドライブ暗号化方法と暗号強度を選択する

このポリシー設定は、暗号化方法と暗号強度を制御するために使用されます。

項目 Info
ポリシーの説明 このポリシー設定を使用すると、ドライブの暗号化方法と強度を制御できます。
導入 Windows Server 2012 と Windows 8
ドライブの種類 すべてのドライブ
ポリシーのパス コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化
競合 なし
有効になっている場合 BitLocker の暗号化アルゴリズムとキー暗号強度は、ドライブの暗号化に使用するように選択できます。
無効になっているか、構成されていない場合 バージョン 1511 Windows 10以降、BitLocker では、XTS-AES 128 ビットの既定の暗号化方法またはセットアップ スクリプトで指定された暗号化方法が使用されます。

リファレンス: ドライブの暗号化方法と暗号強度を選択する

このポリシーの値は、BitLocker が暗号化に使用する暗号の強度を決定します。 企業は、セキュリティ強化のために暗号化レベルを制御したい場合があります (AES-256 は AES-128 よりも強力です)。

この設定を有効にすると、固定データ ドライブ、オペレーティング システム ドライブ、リムーバブル データ ドライブの暗号化アルゴリズムとキー暗号強度を個別に構成できます。

  • 固定およびオペレーティング システム ドライブの場合は、XTS-AES アルゴリズムを使用することをお勧めします。

  • リムーバブル ドライブの場合、AES-CBC 128 ビットまたは AES-CBC 256 ビットは、Windows 10、バージョン 1511 以降を実行していない他のデバイスでドライブを使用する場合に使用する必要があります。

ドライブが既に暗号化されている場合、または暗号化が進行中の場合、暗号化方法を変更しても効果はありません。 このような場合、このポリシー設定は無視されます。

Warning

このポリシーは、暗号化されたドライブには適用されません。 暗号化されたドライブは、パーティション分割中にドライブによって設定される独自のアルゴリズムを利用します。

このポリシー設定が無効になっているか、構成されていない場合、BitLocker は XTS-AES 128 ビットの既定の暗号化方法、またはセットアップ スクリプトで指定されている暗号化方法を使用します。

固定データ ドライブに対するハードウェア ベースの暗号化の使用を構成する

このポリシーは、固定データ ボリュームとして使用される場合に、暗号化されたドライブを備えたシステムに対して BitLocker がどのように反応するかを制御します。 ハードウェア ベースの暗号化を使用すると、ドライブへのデータの頻繁な読み取りまたは書き込みを伴うドライブ操作のパフォーマンスを向上させることができます。

項目 Info
ポリシーの説明 このポリシー設定を使用すると、固定データ ドライブでのハードウェア ベースの暗号化の BitLocker の使用を管理し、ハードウェア ベースの暗号化で BitLocker で使用できる暗号化アルゴリズムを指定できます。
導入 Windows Server 2012 と Windows 8
ドライブの種類 固定データ ドライブ
ポリシーのパス コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化>固定データ ドライブ
競合 なし
有効になっている場合 ハードウェア ベースの暗号化をサポートしていないコンピューターでのハードウェア ベースの暗号化ではなく、BitLocker ソフトウェア ベースの暗号化を使用するかどうかを制御する追加のオプションを指定できます。 また、ハードウェア ベースの暗号化で使用される暗号化アルゴリズムと暗号スイートを制限するように指定することもできます。
無効にした場合 BitLocker では、固定データ ドライブではハードウェア ベースの暗号化を使用できません。また、暗号化されたドライブでは、BitLocker ソフトウェア ベースの暗号化が既定で使用されます。
構成されていない場合 BitLocker ソフトウェア ベースの暗号化は、ハードウェア ベースの暗号化機能に関係なく使用されます。

リファレンス: 固定データ ドライブのハードウェア ベースの暗号化の使用を構成する

[ ドライブの暗号化方法と暗号強度の選択 ] ポリシー設定は、ハードウェア ベースの暗号化には適用されません。

ハードウェア ベースの暗号化によって使用される暗号化アルゴリズムは、ドライブがパーティション分割されるときに設定されます。 既定では、BitLocker はドライブに構成されているアルゴリズムを使用してドライブを暗号化します。 この設定の [ハードウェア ベースの暗号化に許可される暗号化アルゴリズムと暗号スイートを制限 する] オプションを使用すると、BitLocker がハードウェア暗号化で使用できる暗号化アルゴリズムの制限が有効になります。 ドライブに設定されているアルゴリズムを使用できない場合、BitLocker はハードウェア ベースの暗号化の使用を無効にします。 暗号化アルゴリズムは、オブジェクト識別子 (OID) で指定されます。例:

  • 暗号ブロック チェーン (CBC) モード OID の Advanced Encryption Standard (AES) 128: 2.16.840.1.101.3.4.1.2
  • CBC モード OID の AES 256: 2.16.840.1.101.3.4.1.42

オペレーティング システム ドライブのハードウェア ベースの暗号化の使用を構成する

このポリシーは、暗号化されたドライブをオペレーティング システム ドライブとして使用する場合の BitLocker の反応を制御します。 ハードウェア ベースの暗号化を使用すると、ドライブへのデータの頻繁な読み取りまたは書き込みを伴うドライブ操作のパフォーマンスを向上させることができます。

項目 Info
ポリシーの説明 このポリシー設定では、オペレーティング システム ドライブでのハードウェア ベースの暗号化の BitLocker の使用を管理し、ハードウェア ベースの暗号化で使用できる暗号化アルゴリズムを指定します。
導入 Windows Server 2012 と Windows 8
ドライブの種類 オペレーティング システム ドライブ
ポリシーのパス コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化>オペレーティング システム ドライブ
競合 なし
有効になっている場合 ハードウェア ベースの暗号化をサポートしていないコンピューターでのハードウェア ベースの暗号化ではなく、BitLocker ソフトウェア ベースの暗号化を使用するかどうかを制御する追加のオプションを指定できます。 また、ハードウェア ベースの暗号化で使用される暗号化アルゴリズムと暗号スイートを制限するように指定することもできます。
無効にした場合 BitLocker はオペレーティング システム ドライブでハードウェア ベースの暗号化を使用できません。また、暗号化されたドライブでは、BitLocker ソフトウェア ベースの暗号化が既定で使用されます。
構成されていない場合 BitLocker ソフトウェア ベースの暗号化は、ハードウェア ベースの暗号化機能に関係なく使用されます。

リファレンス: オペレーティング システム ドライブのハードウェア ベースの暗号化の使用を構成する

ハードウェア ベースの暗号化を使用できない場合は、代わりに BitLocker ソフトウェア ベースの暗号化が使用されます。

[ ドライブの暗号化方法と暗号強度の選択 ] ポリシー設定は、ハードウェア ベースの暗号化には適用されません。

ハードウェア ベースの暗号化によって使用される暗号化アルゴリズムは、ドライブがパーティション分割されるときに設定されます。 既定では、BitLocker はドライブに構成されているアルゴリズムを使用してドライブを暗号化します。 この設定の [ハードウェア ベースの暗号化に許可される暗号化アルゴリズムと暗号スイートを制限 する] オプションを使用すると、BitLocker がハードウェア暗号化で使用できる暗号化アルゴリズムの制限が有効になります。 ドライブに設定されているアルゴリズムを使用できない場合、BitLocker はハードウェア ベースの暗号化の使用を無効にします。 暗号化アルゴリズムは、オブジェクト識別子 (OID) で指定されます。例:

  • 暗号ブロック チェーン (CBC) モード OID の Advanced Encryption Standard (AES) 128: 2.16.840.1.101.3.4.1.2
  • CBC モード OID の AES 256: 2.16.840.1.101.3.4.1.42

リムーバブル データ ドライブのハードウェア ベースの暗号化の使用を構成する

このポリシーは、リムーバブル データ ドライブとして使用する場合に、BitLocker が暗号化されたドライブに対してどのように反応するかを制御します。 ハードウェア ベースの暗号化を使用すると、ドライブへのデータの頻繁な読み取りまたは書き込みを伴うドライブ操作のパフォーマンスを向上させることができます。

項目 Info
ポリシーの説明 このポリシー設定では、リムーバブル データ ドライブに対するハードウェア ベースの暗号化の BitLocker の使用を管理し、ハードウェア ベースの暗号化で使用できる暗号化アルゴリズムを指定します。
導入 Windows Server 2012 と Windows 8
ドライブの種類 リムーバブル データ ドライブ
ポリシーのパス コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化>リムーバブル データ ドライブ
競合 なし
有効になっている場合 ハードウェア ベースの暗号化をサポートしていないコンピューターでのハードウェア ベースの暗号化ではなく、BitLocker ソフトウェア ベースの暗号化を使用するかどうかを制御する追加のオプションを指定できます。 また、ハードウェア ベースの暗号化で使用される暗号化アルゴリズムと暗号スイートを制限するように指定することもできます。
無効にした場合 BitLocker はリムーバブル データ ドライブでハードウェア ベースの暗号化を使用できません。また、暗号化されたドライブでは、BitLocker ソフトウェア ベースの暗号化が既定で使用されます。
構成されていない場合 BitLocker ソフトウェア ベースの暗号化は、ハードウェア ベースの暗号化機能に関係なく使用されます。

リファレンス: リムーバブル データ ドライブのハードウェア ベースの暗号化の使用を構成する

ハードウェア ベースの暗号化を使用できない場合は、代わりに BitLocker ソフトウェア ベースの暗号化が使用されます。

[ ドライブの暗号化方法と暗号強度の選択 ] ポリシー設定は、ハードウェア ベースの暗号化には適用されません。

ハードウェア ベースの暗号化によって使用される暗号化アルゴリズムは、ドライブがパーティション分割されるときに設定されます。 既定では、BitLocker はドライブに構成されているアルゴリズムを使用してドライブを暗号化します。 この設定の [ハードウェア ベースの暗号化に許可される暗号化アルゴリズムと暗号スイートを制限 する] オプションを使用すると、BitLocker がハードウェア暗号化で使用できる暗号化アルゴリズムの制限が有効になります。 ドライブに設定されているアルゴリズムを使用できない場合、BitLocker はハードウェア ベースの暗号化の使用を無効にします。 暗号化アルゴリズムは、オブジェクト識別子 (OID) で指定されます。例:

  • 暗号ブロック チェーン (CBC) モード OID の Advanced Encryption Standard (AES) 128: 2.16.840.1.101.3.4.1.2
  • CBC モード OID の AES 256: 2.16.840.1.101.3.4.1.42

固定データ ドライブにドライブ暗号化の種類を適用する

このポリシーは、固定データ ドライブで使用済み領域のみの暗号化と完全暗号化のどちらを使用するかを制御します。 このポリシーを設定すると、BitLocker セットアップ ウィザードで暗号化オプション ページがスキップされ、暗号化の選択がユーザーに表示されなくなります。

項目 Info
ポリシーの説明 このポリシー設定を使用すると、BitLocker で使用される暗号化の種類を構成できます。
導入 Windows Server 2012 と Windows 8
ドライブの種類 固定データ ドライブ
ポリシーのパス コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化>固定データ ドライブ
競合 なし
有効になっている場合 このポリシーでは、BitLocker がドライブの暗号化に使用する暗号化の種類を定義します。暗号化の種類オプションは BitLocker セットアップ ウィザードに表示されません。
無効になっているか、構成されていない場合 BitLocker セットアップ ウィザードは、BitLocker をオンにする前に暗号化の種類を選択するようにユーザーに求めます。

リファレンス: 固定データ ドライブにドライブ暗号化の種類を適用する

このポリシー設定は、BitLocker がオンになっているときに適用されます。 ドライブが既に暗号化されている場合、または暗号化が進行中の場合、暗号化の種類を変更しても効果はありません。 [完全暗号化] を選択すると、BitLocker がオンになっているときにドライブ全体を暗号化することが必須になります。 BitLocker がオンになっているときにデータの格納に使用されるドライブのその部分のみを暗号化することを必須にするには、[使用済み領域のみ暗号化] を選択します。

このポリシーは、ボリュームが縮小または展開されていて、BitLocker ドライブが現在の暗号化方法を使用している場合は無視されます。 たとえば、使用済み領域のみの暗号化を使用しているドライブが展開されている場合、完全暗号化を使用しているドライブの場合と同様に、新しい空き領域はワイプされません。 ユーザーは、次のコマンド manage-bde.exe -wを使用して、使用済み領域のみドライブの空き領域をワイプできます。 ボリュームが縮小された場合、新しい空き領域に対するアクションは実行されません。

BitLocker を管理するツールの詳細については、「 Manage-bde」を参照してください。

オペレーティング システム ドライブにドライブ暗号化の種類を適用する

このポリシーは、オペレーティング システム ドライブが完全暗号化または使用済み領域のみの暗号化を使用するかどうかを制御します。 このポリシーを設定すると、BitLocker セットアップ ウィザードで暗号化オプション ページがスキップされるため、暗号化の選択はユーザーに表示されません。

項目 Info
ポリシーの説明 このポリシー設定を使用すると、BitLocker で使用される暗号化の種類を構成できます。
導入 Windows Server 2012 と Windows 8
ドライブの種類 オペレーティング システム ドライブ
ポリシーのパス コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化>オペレーティング システム ドライブ
競合 なし
有効になっている場合 BitLocker がドライブの暗号化に使用する暗号化の種類は、このポリシーによって定義され、暗号化の種類オプションは BitLocker セットアップ ウィザードに表示されません。
無効になっているか、構成されていない場合 BitLocker セットアップ ウィザードは、BitLocker をオンにする前に暗号化の種類を選択するようにユーザーに求めます。

リファレンス: オペレーティング システム ドライブにドライブ暗号化の種類を適用する

このポリシー設定は、BitLocker がオンになっているときに適用されます。 ドライブが既に暗号化されている場合、または暗号化が進行中の場合、暗号化の種類を変更しても効果はありません。 [完全暗号化] を選択すると、BitLocker がオンになっているときにドライブ全体を暗号化することが必須になります。 BitLocker がオンになっているときにデータの格納に使用されるドライブのその部分のみを暗号化することを必須にするには、[使用済み領域のみ暗号化] を選択します。

このポリシーは、ボリュームを縮小または拡張するときに無視され、BitLocker ドライバーは現在の暗号化方法を使用します。 たとえば、使用済み領域のみの暗号化を使用しているドライブが展開されている場合、完全暗号化を使用するドライブの場合と同様に、新しい空き領域はワイプされません。 ユーザーは、次のコマンド manage-bde.exe -wを使用して、使用済み領域のみドライブの空き領域をワイプできます。 ボリュームが縮小された場合、新しい空き領域に対するアクションは実行されません。

BitLocker を管理するツールの詳細については、「 Manage-bde」を参照してください。

リムーバブル データ ドライブにドライブ暗号化の種類を適用する

このポリシーは、固定データ ドライブで完全暗号化と使用済み領域のみの暗号化のどちらを使用するかを制御します。 このポリシーを設定すると、BitLocker セットアップ ウィザードで暗号化オプション ページがスキップされるため、暗号化の選択はユーザーに表示されません。

項目 Info
ポリシーの説明 このポリシー設定を使用すると、BitLocker で使用される暗号化の種類を構成できます。
導入 Windows Server 2012 と Windows 8
ドライブの種類 リムーバブル データ ドライブ
ポリシーのパス コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化>リムーバブル データ ドライブ
競合 なし
有効になっている場合 BitLocker がドライブの暗号化に使用する暗号化の種類は、このポリシーによって定義され、暗号化の種類オプションは BitLocker セットアップ ウィザードに表示されません。
無効になっているか、構成されていない場合 BitLocker セットアップ ウィザードは、BitLocker をオンにする前に暗号化の種類を選択するようにユーザーに求めます。

リファレンス: リムーバブル データ ドライブにドライブ暗号化の種類を適用する

このポリシー設定は、BitLocker がオンになっているときに適用されます。 ドライブが既に暗号化されている場合、または暗号化が進行中の場合、暗号化の種類を変更しても効果はありません。 [完全暗号化] を選択すると、BitLocker がオンになっているときにドライブ全体を暗号化することが必須になります。 BitLocker がオンになっているときにデータの格納に使用されるドライブのその部分のみを暗号化することを必須にするには、[使用済み領域のみ暗号化] を選択します。

このポリシーは、ボリュームを縮小または拡張するときに無視され、BitLocker ドライバーは現在の暗号化方法を使用します。 たとえば、使用済み領域のみの暗号化を使用しているドライブが展開されると、完全暗号化を使用しているドライブの場合と同様に、新しい空き領域はワイプされません。 ユーザーは、次のコマンド manage-bde.exe -wを使用して、使用済み領域のみドライブの空き領域をワイプできます。 ボリュームが縮小された場合、新しい空き領域に対するアクションは実行されません。

BitLocker を管理するツールの詳細については、「 Manage-bde」を参照してください。

BitLocker で保護されたオペレーティング システム ドライブを回復する方法を選択する

このポリシー設定は、オペレーティング システム ドライブの回復方法を構成するために使用されます。

項目 Info
ポリシーの説明 このポリシー設定を使用すると、必要なスタートアップ キー情報がない場合に BitLocker で保護されたオペレーティング システム ドライブを回復する方法を制御できます。
導入 Windows Server 2008 R2 および Windows 7
ドライブの種類 オペレーティング システム ドライブ
ポリシーのパス コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化>オペレーティング システム ドライブ
競合 BitLocker で保護されていないリムーバブル ドライブへの書き込みアクセスを拒否するポリシー設定が有効になっている場合は、回復キーの使用を禁止する必要があります。

データ復旧エージェントを使用する場合は、[ 組織の一意の識別子を指定 する] ポリシー設定を有効にする必要があります。
有効になっている場合 ユーザーが BitLocker で保護されたオペレーティング システム ドライブからデータを回復するために使用できるメソッドを制御できます。
無効になっているか、構成されていない場合 BitLocker 回復では、既定の回復オプションがサポートされています。 既定では、データ復旧エージェントが許可され、回復オプションはユーザー (回復パスワードと回復キーを含む) で指定でき、回復情報は AD DS にバックアップされません。

リファレンス: BitLocker で保護されたオペレーティング システム ドライブを回復する方法を選択する

このポリシー設定は、BitLocker がオンになっているときに適用されます。

[ データ復旧エージェントを許可する ] チェック ボックスは、BitLocker で保護されたオペレーティング システム ドライブでデータ復旧エージェントを使用できるかどうかを指定するために使用されます。 データ復旧エージェントを使用するには、グループ ポリシー管理コンソール (GPMC) またはローカル グループ ポリシー エディターにある公開キー ポリシーから追加する必要があります。

データ回復エージェントの追加の詳細については、「 BitLocker の基本的な展開」を参照してください。

[ BitLocker 回復情報のユーザー ストレージの構成] で、ユーザーが 48 桁の回復パスワードの生成を許可、必須、または許可されていないかどうかを選択します。

BitLocker セットアップ ウィザードで [回復オプションの省略] を選択すると、ユーザーがドライブで BitLocker を有効にしたときに回復オプションが指定されなくなります。 このポリシー設定は、BitLocker が有効になっているときに使用する回復オプションを指定できないことを意味します。 代わりに、ドライブの BitLocker 回復オプションは、ポリシー設定によって決まります。

[Active Directory Domain Servicesに BitLocker 回復情報を保存する] で、オペレーティング システム ドライブのActive Directory Domain Services (AD DS) に格納する BitLocker 回復情報を選択します。 [ストア回復パスワードとキー パッケージ] が選択されている場合、BitLocker 回復パスワードとキー パッケージは AD DS に格納されます。 キー パッケージを格納すると、物理的に破損したドライブからのデータの回復がサポートされます。 [ストアの回復パスワードのみ] が選択されている場合、回復パスワードのみが AD DS に格納されます。

コンピューターがドメインに接続されていて、AD DS への BitLocker 回復情報のバックアップが成功しない限り、ユーザーが BitLocker を有効にできないようにする必要がある場合は、[ オペレーティング システム ドライブの AD DS に回復情報が格納されるまで BitLocker を有効にしない] チェック ボックスをオンにします。

[ オペレーティング システム ドライブの AD DS に回復情報が格納されるまで BitLocker を有効にしない ] チェック ボックスがオンの場合、回復パスワードが自動的に生成されます。

ユーザーが BitLocker で保護されたドライブ (Windows Server 2008 と Windows Vista) を回復する方法を選択する

このポリシー設定は、Windows Server 2008 または Windows Vista を実行しているコンピューターで BitLocker で保護されたドライブの回復方法を構成するために使用されます。

項目 Info
ポリシーの説明 このポリシー設定を使用すると、BitLocker セットアップ ウィザードで BitLocker 回復オプションを表示および指定できるかどうかを制御できます。
導入 Windows Server 2008 と Windows Vista
ドライブの種類 Windows Server 2008 および Windows Vista を実行しているコンピューター上のオペレーティング システム ドライブと固定データ ドライブ
ポリシーのパス コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化
競合 このポリシー設定は、重要な情報がないためにデータが失われるのを防ぐために BitLocker によって暗号化されたデータを回復する管理方法を提供します。 両方のユーザー回復オプションで [許可しない] オプションを選択した場合は、ポリシー エラーを防ぐために、Active Directory Domain Services (Windows Server 2008 および Windows Vista) ポリシー設定に BitLocker 回復情報を格納する必要があります。
有効になっている場合 BitLocker で暗号化されたデータを回復するために BitLocker セットアップ ウィザードがユーザーに表示するオプションを構成できます。
無効になっているか、構成されていない場合 BitLocker セットアップ ウィザードは、回復オプションを格納する方法をユーザーに提示します。

リファレンス: ユーザーが BitLocker で保護されたドライブを回復する方法を選択する (Windows Server 2008 および Windows Vista)

このポリシーは、Windows Server 2008 または Windows Vista を実行しているコンピューターにのみ適用されます。 このポリシー設定は、BitLocker がオンになっているときに適用されます。

必要なスタートアップ キー情報がない場合は、2 つの回復オプションを使用して BitLocker で暗号化されたデータのロックを解除できます。 ユーザーは、48 桁の数値回復パスワードを入力するか、256 ビットの回復キーを含む USB ドライブを挿入できます。

  • 回復パスワードを USB ドライブに保存すると、48 桁の回復パスワードがテキスト ファイルとして保存され、256 ビットの回復キーが隠しファイルとして保存されます。
  • 回復パスワードをフォルダーに保存すると、48 桁の回復パスワードがテキスト ファイルとして格納されます。
  • 回復パスワードを印刷すると、48 桁の回復パスワードが既定のプリンターに送信されます。

たとえば、48 桁の回復パスワードを許可しないと、ユーザーは回復情報をフォルダーに印刷または保存できなくなります。

重要

BitLocker のセットアップ中に TPM の初期化が実行された場合、TPM 所有者情報は BitLocker 回復情報と共に保存または印刷されます。 48 桁の回復パスワードは、FIPS コンプライアンス モードでは使用できません。

重要

データの損失を防ぐには、BitLocker 暗号化キーを回復する方法が必要です。 両方の回復オプションが許可されていない場合は、Ad DS への BitLocker 回復情報のバックアップを有効にする必要があります。 それ以外の場合は、ポリシー エラーが発生します。

Active Directory Domain Services (Windows Server 2008 および Windows Vista) に BitLocker 回復情報を格納する

このポリシー設定は、AD DS で BitLocker 回復情報のストレージを構成するために使用されます。 このポリシー設定は、重要な情報がないためにデータが失われるのを防ぐために BitLocker によって暗号化されたデータを回復する管理方法を提供します。

項目 Info
ポリシーの説明 このポリシー設定では、BitLocker ドライブ暗号化の回復情報の AD DS バックアップを管理できます。
導入 Windows Server 2008 と Windows Vista
ドライブの種類 Windows Server 2008 および Windows Vista を実行しているコンピューター上のオペレーティング システム ドライブと固定データ ドライブ。
ポリシーのパス コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化
競合 なし
有効になっている場合 BitLocker 回復情報は、コンピューターに対して BitLocker がオンになっている場合に、自動的かつサイレントに AD DS にバックアップされます。
無効になっているか、構成されていない場合 BitLocker 回復情報は AD DS にバックアップされません。

リファレンス: BitLocker 回復情報を Active Directory Domain Services に格納する (Windows Server 2008 および Windows Vista)

このポリシーは、Windows Server 2008 または Windows Vista を実行しているコンピューターにのみ適用されます。

このポリシー設定は、BitLocker がオンになっているときに適用されます。

BitLocker 回復情報には、回復パスワードと一意の識別子データが含まれます。 BitLocker で保護されたドライブの暗号化キーを含むパッケージも含めることができます。 このキー パッケージは、1 つ以上の回復パスワードによって保護され、ディスクが破損または破損したときに特殊な回復を実行するのに役立ちます。

[ AD DS への BitLocker バックアップが必要] が選択されている場合、コンピューターがドメインに接続されていて、Ad DS への BitLocker 回復情報のバックアップが成功しない限り、BitLocker を有効にできません。 このオプションは、BitLocker の回復が可能であることを確認するために、既定で選択されています。

回復パスワードは、BitLocker で保護されたドライブへのアクセスをロック解除する 48 桁の番号です。 キー パッケージには、ドライブの BitLocker 暗号化キーが含まれています。これは、1 つ以上の回復パスワードによって保護されます。 キー パッケージは、ディスクが破損または破損したときに特殊な回復を実行するのに役立つ場合があります。

[ AD DS への BitLocker バックアップを必須にする ] オプションが選択されていない場合、AD DS バックアップは試行されますが、ネットワークまたはその他のバックアップ エラーによって BitLocker のセットアップが妨げられます。 バックアップ プロセスは自動的に再試行されず、BitLocker のセットアップ中に回復パスワードが AD DS に格納されない可能性があります。 BitLocker のセットアップ中に TPM の初期化が必要になる場合があります。 [コンピューターの構成>] [管理用テンプレート>] [システム>の信頼されたプラットフォーム モジュール サービス] の [TPM バックアップ Active Directory Domain Servicesを有効にする] ポリシー設定を有効にして、TPM 情報も確実にバックアップされるようにします。

この設定の詳細については、「TPM グループ ポリシー設定」を参照してください。

回復パスワードの既定のフォルダーを選択する

このポリシー設定は、回復パスワードの既定のフォルダーを構成するために使用されます。

項目 Info
ポリシーの説明 このポリシー設定では、BitLocker セットアップ ウィザードで、回復パスワードを保存するフォルダーの場所の入力を求めるメッセージが表示されたときに表示される既定のパスを指定できます。
導入 Windows Vista
ドライブの種類 すべてのドライブ
ポリシーのパス コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化
競合 なし
有効になっている場合 ユーザーがフォルダーに回復パスワードを保存するオプションを選択したときに、既定のフォルダーの場所として使用されるパスを指定できます。 完全修飾パスを指定できます。 ターゲット コンピューターの環境変数をパスに含めることもできます。 パスが有効でない場合は、BitLocker セットアップ ウィザードにコンピューターの最上位フォルダー ビューが表示されます。
無効になっているか、構成されていない場合 BitLocker セットアップ ウィザードは、ユーザーが回復パスワードをフォルダーに保存するオプションを選択すると、コンピューターの最上位フォルダー ビューを表示します。

リファレンス: 回復パスワードの既定のフォルダーを選択する

このポリシー設定は、BitLocker がオンになっているときに適用されます。

このポリシー設定では、ユーザーが別のフォルダーに回復パスワードを保存することはできません。

BitLocker で保護された固定ドライブを回復する方法を選択する

このポリシー設定は、固定データ ドライブの回復方法を構成するために使用されます。

項目 Info
ポリシーの説明 このポリシー設定を使用すると、必要な資格情報がない場合に BitLocker で保護された固定データ ドライブを回復する方法を制御できます。
導入 Windows Server 2008 R2 および Windows 7
ドライブの種類 固定データ ドライブ
ポリシーのパス コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化>固定データ ドライブ
競合 BitLocker で保護されていないリムーバブル ドライブへの書き込みアクセスを拒否するポリシー設定が有効になっている場合は、回復キーの使用を禁止する必要があります。

データ復旧エージェントを使用する場合は、[ 組織の一意の識別子を指定 する] ポリシー設定を有効にする必要があります。
有効になっている場合 BitLocker で保護された固定データ ドライブからデータを回復するためにユーザーが使用できるメソッドを制御できます。
無効になっているか、構成されていない場合 BitLocker 回復では、既定の回復オプションがサポートされています。 既定では、データ復旧エージェントが許可され、回復オプションはユーザー (回復パスワードと回復キーを含む) で指定でき、回復情報は AD DS にバックアップされません。

リファレンス: BitLocker で保護された固定ドライブを回復する方法を選択する

このポリシー設定は、BitLocker がオンになっているときに適用されます。

[ データ復旧エージェントを許可する ] チェック ボックスは、BitLocker で保護された固定データ ドライブでデータ復旧エージェントを使用できるかどうかを指定するために使用されます。 データ復旧エージェントを使用するには、グループ ポリシー管理コンソール (GPMC) またはローカル グループ ポリシー エディターにある公開キー ポリシーから追加する必要があります。

[ BitLocker 回復情報のユーザー ストレージの構成] で、ユーザーが 48 桁の回復パスワードまたは 256 ビットの回復キーを生成できるかどうかを選択します。

BitLocker セットアップ ウィザードで [回復オプションの省略] を選択すると、ユーザーがドライブで BitLocker を有効にしたときに回復オプションが指定されなくなります。 このポリシー設定は、BitLocker が有効になっているときに使用する回復オプションを指定できないことを意味します。 代わりに、ドライブの BitLocker 回復オプションは、ポリシー設定によって決まります。

[BitLocker 回復情報をActive Directory Domain Servicesに保存する] で、固定データ ドライブの AD DS に格納する BitLocker 回復情報を選択します。 [バックアップ回復パスワードとキー パッケージ] が選択されている場合、BitLocker 回復パスワードとキー パッケージは AD DS に格納されます。 キー パッケージを格納すると、物理的に破損したドライブからのデータの復旧がサポートされます。 このデータを回復するには、 Repair-bde.exe コマンド ライン ツールを使用できます。 [バックアップの回復パスワードのみ] が選択されている場合、回復パスワードのみが AD DS に格納されます。

BitLocker 修復ツールの詳細については、「 Repair-bde」を参照してください。

コンピューターがドメインに接続されていて 、Ad DS への BitLocker 回復情報 のバックアップが成功しない限り、ユーザーが BitLocker を有効にできないようにする必要がある場合は、[回復情報が AD DS に保存されるまで BitLocker を有効にしない] チェック ボックスをオンにします。

[ 固定データ ドライブの AD DS に回復情報が格納されるまで BitLocker を有効にしない ] チェック ボックスがオンの場合、回復パスワードが自動的に生成されます。

BitLocker で保護されたリムーバブル ドライブを回復する方法を選択する

このポリシー設定は、リムーバブル データ ドライブの回復方法を構成するために使用されます。

項目 Info
ポリシーの説明 このポリシー設定を使用すると、必要な資格情報がない場合に BitLocker で保護されたリムーバブル データ ドライブを回復する方法を制御できます。
導入 Windows Server 2008 R2 および Windows 7
ドライブの種類 リムーバブル データ ドライブ
ポリシーのパス コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化>リムーバブル データ ドライブ
競合 BitLocker で保護されていないリムーバブル ドライブへの書き込みアクセスを拒否するポリシー設定が有効になっている場合は、回復キーの使用を禁止する必要があります。

データ復旧エージェントを使用する場合は、[ 組織の一意の識別子を指定 する] ポリシー設定を有効にする必要があります。
有効になっている場合 ユーザーが BitLocker で保護されたリムーバブル データ ドライブからデータを回復するために使用できるメソッドを制御できます。
無効になっているか、構成されていない場合 BitLocker 回復では、既定の回復オプションがサポートされています。 既定では、データ復旧エージェントが許可され、回復オプションはユーザー (回復パスワードと回復キーを含む) で指定でき、回復情報は AD DS にバックアップされません。

リファレンス: BitLocker で保護されたリムーバブル ドライブを回復する方法を選択する

このポリシー設定は、BitLocker がオンになっているときに適用されます。

[ データ復旧エージェントを許可する ] チェック ボックスは、BitLocker で保護されたリムーバブル データ ドライブでデータ復旧エージェントを使用できるかどうかを指定するために使用されます。 データ復旧エージェントを使用するには、GPMC またはローカル グループ ポリシー エディターを使用してアクセスされる公開キー ポリシーから追加する必要があります。

[ BitLocker 回復情報のユーザー ストレージの構成] で、ユーザーが 48 桁の回復パスワードを生成できるかどうかを選択します。

BitLocker セットアップ ウィザードで [回復オプションの省略] を選択すると、ユーザーがドライブで BitLocker を有効にしたときに回復オプションが指定されなくなります。 このポリシー設定は、BitLocker が有効になっているときに使用する回復オプションを指定できないことを意味します。 代わりに、ドライブの BitLocker 回復オプションは、ポリシー設定によって決まります。

[BitLocker 回復情報をActive Directory Domain Servicesに保存する] で、リムーバブル データ ドライブ用に AD DS に格納する BitLocker 回復情報を選択します。 [バックアップ回復パスワードとキー パッケージ] が選択されている場合、BitLocker 回復パスワードとキー パッケージは AD DS に格納されます。 [バックアップの回復パスワードのみ] が選択されている場合、回復パスワードのみが AD DS に格納されます。

コンピューターがドメインに接続されていて 、Ad DS への BitLocker 回復情報 のバックアップが成功しない限り、ユーザーが BitLocker を有効にできないようにする必要がある場合は、[回復情報が AD DS に格納されるまで BitLocker を有効にしない] チェック ボックスをオンにします。

[ 固定データ ドライブの AD DS に回復情報が格納されるまで BitLocker を有効にしない ] チェック ボックスがオンの場合、回復パスワードが自動的に生成されます。

起動前の回復メッセージと URL を構成する

このポリシー設定は、回復メッセージ全体を構成し、オペレーティング システム ドライブがロックされているときに起動前の回復画面に表示される既存の URL を置き換えるために使用されます。

項目 Info
ポリシーの説明 このポリシー設定を使用すると、カスタマイズされたメッセージと URL を表示するように BitLocker 回復画面を構成できます。
導入 Windows
ドライブの種類 オペレーティング システム ドライブ
ポリシーのパス コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化>オペレーティング システム ドライブ>起動前の回復メッセージと URL を構成する
競合 なし
有効になっている場合 カスタマイズされたメッセージと URL は、起動前の回復画面に表示されます。 カスタム回復メッセージと URL が以前に有効になっていて、メッセージと URL を既定のメッセージと URL に戻す必要がある場合は、ポリシー設定を有効にし、[ 既定の回復メッセージと URL を使用 する] オプションが選択されている必要があります。
無効になっているか、構成されていない場合 設定が以前に有効になっていない場合は、BitLocker 回復の既定の起動前回復画面が表示されます。 以前に設定が有効になっていて、後で無効になっている場合は、ブート構成データ (BCD) の最後のメッセージが、既定の回復メッセージかカスタム メッセージかが表示されます。

リファレンス: 起動前の回復メッセージと URL を構成する

[ ブート前の回復メッセージと URL の構成 ] ポリシー設定を有効にすると、既定の回復画面メッセージと URL をカスタマイズして、お客様がキーを回復するのを支援できます。

設定を有効にすると、次の 3 つのオプションを使用できます。

  • [ 既定の回復メッセージと URL を使用 する] オプションが選択されている場合、既定の BitLocker 回復メッセージと URL が起動前の回復画面に表示されます。
  • [ カスタム回復メッセージを使用 する] オプションが選択されている場合は、[ カスタム回復メッセージ オプション ] テキスト ボックスにカスタム メッセージを入力します。 [カスタム回復メッセージ オプション] テキスト ボックスに入力されたメッセージが、起動前の回復画面に表示されます。 回復 URL が使用可能な場合は、メッセージに含めます。
  • [ カスタム回復 URL を使用 する] オプションが選択されている場合は、[カスタム 回復 URL オプション ] テキスト ボックスにカスタム メッセージ URL を入力します。 [カスタム回復 URL オプション] テキスト ボックスに入力された URL は、既定の回復メッセージの既定の URL に置き換えられます。これは、起動前の回復画面に表示されます。

重要

プリブート環境では、すべての文字と言語がサポートされているわけではありません。 起動前の回復画面でカスタム メッセージと URL に使用される文字の正しい外観を確認することを強くお勧めします。

重要

BCDEdit コマンドは、グループ ポリシー設定を設定する前に手動で変更できるため、このポリシー設定を構成した後に [未構成] オプションを選択すると、ポリシー設定を既定の設定に戻すことはできません。 既定の起動前回復画面に戻すには、ポリシー設定を有効のままにし、[起動前の回復メッセージのオプションを選択する] ドロップダウン リスト ボックスから [既定のメッセージ オプションを使用する] を選択します。

整合性検証のセキュア ブートを許可する

このポリシーは、セキュア ブート機能を使用して BitLocker 対応システム ボリュームを処理する方法を制御します。 この機能を有効にすると、ブート プロセス中にセキュア ブート検証が強制され、セキュア ブート ポリシーに従ってブート構成データ (BCD) 設定が検証されます。

項目 Info
ポリシーの説明 このポリシー設定を使用すると、BitLocker オペレーティング システム ドライブのプラットフォーム整合性プロバイダーとしてセキュア ブートを許可するかどうかを構成できます。
導入 Windows Server 2012 と Windows 8
ドライブの種類 すべてのドライブ
ポリシーのパス コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化>オペレーティング システム ドライブ
競合 [整合性検証用のセキュア ブートを許可する] が有効になっている場合は、[ネイティブ UEFI ファームウェア構成の TPM プラットフォーム検証プロファイルを構成する] グループ ポリシー設定が有効になっていないか、または、プラットフォームまたは BCD 整合性検証にセキュア ブートを使用できるように PCR 7 を含めます。

PCR 7 の詳細については、この記事 の「プラットフォーム構成レジスタ (PCR) について」 を参照してください。
有効または未構成の場合 プラットフォームがセキュア ブート ベースの整合性検証に対応している場合、BitLocker はプラットフォームの整合性にセキュア ブートを使用します。
無効にした場合 BitLocker では、セキュア ブート ベースの整合性検証が可能なシステムでも、レガシ プラットフォームの整合性検証が使用されます。

リファレンス: 整合性検証のためにセキュア ブートを許可する

セキュア ブートにより、コンピューターのプレブート環境で、承認されたソフトウェア発行元によってデジタル署名されたファームウェアのみが読み込まれます。 セキュリティで保護されたブートでは、Windows Server 2012とWindows 8の前に BitLocker 整合性チェックよりも、ブート前の構成を管理するための柔軟性も提供し始めました。

このポリシーを有効にし、ハードウェアで BitLocker シナリオでセキュア ブートを使用できる場合、[ 拡張ブート構成データ検証プロファイルの使用 ] グループ ポリシー設定は無視され、セキュア ブートでは、BitLocker とは別に構成されているセキュリティで保護されたブート ポリシー設定に従って BCD 設定が検証されます。

Warning

このポリシーを無効にすると、製造元固有のファームウェアが更新されたときに BitLocker の回復が発生する可能性があります。 このポリシーが無効になっている場合は、ファームウェア更新プログラムを適用する前に BitLocker を一時停止します。

組織の一意の識別子を指定する

このポリシー設定は、組織内で暗号化されているすべてのドライブに適用される識別子を確立するために使用されます。

項目 Info
ポリシーの説明 このポリシー設定では、BitLocker で有効になっている新しいドライブに一意の組織識別子を関連付けることができます。
導入 Windows Server 2008 R2 および Windows 7
ドライブの種類 すべてのドライブ
ポリシーのパス コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化
競合 BitLocker で保護されたドライブ上の証明書ベースのデータ復旧エージェントを管理するには、識別フィールドが必要です。 BitLocker は、ドライブに識別フィールドが存在し、コンピューターで構成されている値と同じ場合にのみ、証明書ベースのデータ復旧エージェントを管理および更新します。
有効になっている場合 BitLocker で保護されたドライブ上の識別フィールドと、組織が使用する許可される識別フィールドを構成できます。
無効になっているか、構成されていない場合 識別フィールドは必要ありません。

リファレンス: 組織の一意の識別子を指定する

これらの識別子は、識別フィールドと許可された識別フィールドとして格納されます。 識別フィールドを使用すると、一意の組織識別子を BitLocker で保護されたドライブに関連付けることができます。 この識別子は、新しい BitLocker で保護されたドライブに自動的に追加され、 Manage-bde コマンド ライン ツールを使用して、既存の BitLocker で保護されたドライブで更新できます。

BitLocker で保護されたドライブ上の証明書ベースのデータ回復エージェントを管理したり、BitLocker To Go リーダーを更新したりするには、識別フィールドが必要です。 BitLocker は、ドライブの識別フィールドが識別フィールドで構成されている値と一致する場合にのみ、データ回復エージェントを管理および更新します。 同様の方法で、BitLocker は、ドライブ上の識別フィールドの値が識別フィールド用に構成されている値と一致する場合にのみ、BitLocker To Go リーダーを更新します。

BitLocker を管理するツールの詳細については、「 Manage-bde」を参照してください。

許可される識別フィールドは、[ BitLocker で保護されていないリムーバブル ドライブへの書き込みアクセスを拒否 する] ポリシー設定と組み合わせて使用され、組織内のリムーバブル ドライブの使用を制御するのに役立ちます。 これは、内部組織または外部組織からの識別フィールドのコンマ区切りの一覧です。

既存のドライブの識別フィールドは、 Manage-bde コマンド ライン ツールを使用して構成できます。

BitLocker で保護されたドライブが別の BitLocker 対応コンピューターにマウントされている場合は、識別フィールドと許可された識別フィールドを使用して、ドライブが外部組織からのものかどうかを判断します。

識別フィールドと許可された識別フィールドには、コンマで区切られた複数の値を入力できます。 識別フィールドには、最大 260 文字の任意の値を指定できます。

再起動時にメモリの上書きを防ぐ

このポリシー設定は、次回コンピューターを再起動するときにコンピューターのメモリを上書きするかどうかを制御するために使用されます。

項目 Info
ポリシーの説明 このポリシー設定を使用すると、BitLocker シークレットを公開するリスクがある場合にコンピューターの再起動のパフォーマンスを制御できます。
導入 Windows Vista
ドライブの種類 すべてのドライブ
ポリシーのパス コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化
競合 なし
有効になっている場合 コンピューターが再起動してもメモリは上書きされません。 メモリの上書きを防ぐと、再起動のパフォーマンスが向上する可能性がありますが、BitLocker シークレットを公開するリスクが高くなります。
無効になっているか、構成されていない場合 BitLocker シークレットは、コンピューターの再起動時にメモリから削除されます。

リファレンス: 再起動時にメモリの上書きを防止する

このポリシー設定は、BitLocker がオンになっているときに適用されます。 BitLocker シークレットには、データの暗号化に使用されるキー マテリアルが含まれます。 このポリシー設定は、BitLocker 保護が有効になっている場合にのみ適用されます。

BIOS ベースのファームウェア構成の TPM プラットフォーム検証プロファイルを構成する

このポリシー設定は、BIOS 構成または互換性サポート モジュール (CSM) が有効になっている UEFI ファームウェアを使用してコンピューター上のオペレーティング システム ドライブのロックを解除する前に、初期ブート コンポーネントを検証するときに TPM が測定する値を決定します。

項目 Info
ポリシーの説明 このポリシー設定を使用すると、コンピューターの TPM セキュリティ ハードウェアが BitLocker 暗号化キーをセキュリティで保護する方法を構成できます。
導入 Windows Server 2012 と Windows 8
ドライブの種類 オペレーティング システム ドライブ
ポリシーのパス コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化>オペレーティング システム ドライブ
競合 なし
有効になっている場合 BitLocker で暗号化されたオペレーティング システム ドライブへのアクセスをロック解除する前に TPM が検証するブート コンポーネントを構成できます。 BitLocker 保護が有効な間にこれらのコンポーネントのいずれかが変更された場合、TPM は暗号化キーを解放してドライブのロックを解除しません。 代わりに、コンピューターに BitLocker 回復コンソールが表示され、ドライブのロックを解除するために回復パスワードまたは回復キーが指定されている必要があります。
無効になっているか、構成されていない場合 TPM では、セットアップ スクリプトによって指定された既定のプラットフォーム検証プロファイルまたはプラットフォーム検証プロファイルが使用されます。

リファレンス: BIOS ベースのファームウェア構成用に TPM プラットフォーム検証プロファイルを構成する

このポリシー設定は、コンピューターに互換性のある TPM がない場合、または TPM 保護で BitLocker が既にオンになっている場合は適用されません。

重要

このグループ ポリシー設定は、BIOS 構成を持つコンピューター、または CSM が有効になっている UEFI ファームウェアを持つコンピューターにのみ適用されます。 ネイティブ UEFI ファームウェア構成を使用するコンピューターは、プラットフォーム構成レジスタ (PCR) に異なる値を格納します。 [ネイティブ UEFI ファームウェア構成の TPM プラットフォーム検証プロファイルの構成] グループ ポリシー設定を使用して、ネイティブ UEFI ファームウェアを使用するコンピューターの TPM PCR プロファイルを構成します。

プラットフォーム検証プロファイルは、0 から 23 の範囲の PCR インデックスのセットで構成されます。 既定のプラットフォーム検証プロファイルは、次の PCR への変更に対して暗号化キーをセキュリティで保護します。

  • 測定のコア ルート (CRTM)、BIOS、プラットフォーム拡張機能 (PCR 0)
  • オプション ROM コード (PCR 2)
  • マスター ブート レコード (MBR) コード (PCR 4)
  • NTFS ブート セクター (PCR 8)
  • NTFS ブート ブロック (PCR 9)
  • ブート マネージャー (PCR 10)
  • BitLocker Access Control (PCR 11)

既定のプラットフォーム検証プロファイルから変更すると、コンピューターのセキュリティと管理性に影響します。 プラットフォームの変更 (悪意のある、または承認された) に対する BitLocker の感度は、PCR の包含または除外 (それぞれ) に応じて増減されます。

次の一覧は、使用可能なすべての PCR を示しています。

  • PCR 0: 測定、BIOS、プラットフォーム拡張機能のコア root-of-trust
  • PCR 1: プラットフォームとマザーボードの構成とデータ。
  • PCR 2: オプション ROM コード
  • PCR 3: オプション ROM データと構成
  • PCR 4: マスター ブート レコード (MBR) コード
  • PCR 5: マスター ブート レコード (MBR) パーティション テーブル
  • PCR 6: 状態遷移とウェイク イベント
  • PCR 7: コンピューターの製造元固有
  • PCR 8: NTFS ブート セクター
  • PCR 9: NTFS ブート ブロック
  • PCR 10: ブート マネージャー
  • PCR 11: BitLocker アクセス制御
  • PCR 12-23: 将来の使用のために予約済み

TPM プラットフォーム検証プロファイルの構成 (Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2)

このポリシー設定は、Windows Vista、Windows Server 2008、または Windows 7 を実行しているコンピューターでドライブのロックを解除する前に、初期ブート コンポーネントを検証するときに TPM が測定する値を決定します。

項目 Info
ポリシーの説明 このポリシー設定を使用すると、コンピューターの TPM セキュリティ ハードウェアが BitLocker 暗号化キーをセキュリティで保護する方法を構成できます。
導入 Windows Server 2008 と Windows Vista
ドライブの種類 オペレーティング システム ドライブ
ポリシーのパス コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化>オペレーティング システム ドライブ
競合 なし
有効になっている場合 BitLocker で暗号化されたオペレーティング システム ドライブへのアクセスをロック解除する前に TPM が検証するブート コンポーネントを構成できます。 BitLocker 保護が有効な間にこれらのコンポーネントのいずれかが変更された場合、TPM はドライブのロックを解除するための暗号化キーを解放しません。 代わりに、コンピューターに BitLocker 回復コンソールが表示され、ドライブのロックを解除するために回復パスワードまたは回復キーが指定されている必要があります。
無効になっているか、構成されていない場合 TPM では、セットアップ スクリプトによって指定された既定のプラットフォーム検証プロファイルまたはプラットフォーム検証プロファイルが使用されます。

リファレンス: TPM プラットフォーム検証プロファイルを構成する (Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2)

このポリシー設定は、コンピューターに互換性のある TPM がない場合、または TPM 保護で BitLocker が既にオンになっている場合は適用されません。

プラットフォーム検証プロファイルは、0 から 23 の範囲の PCR インデックスのセットで構成されます。 既定のプラットフォーム検証プロファイルは、次の PCR への変更に対して暗号化キーをセキュリティで保護します。

  • 測定のコア ルート (CRTM)、BIOS、プラットフォーム拡張機能 (PCR 0)
  • オプション ROM コード (PCR 2)
  • マスター ブート レコード (MBR) コード (PCR 4)
  • NTFS ブート セクター (PCR 8)
  • NTFS ブート ブロック (PCR 9)
  • ブート マネージャー (PCR 10)
  • BitLocker Access Control (PCR 11)

拡張ファームウェア インターフェイス (EFI) を使用するコンピューターの既定の TPM 検証プロファイル PCR 設定は、PCR 0、2、4、および 11 のみです。

次の一覧は、使用可能なすべての PCR を示しています。

  • PCR 0: 測定、EFI ブートとランタイム サービス、システム ROM に埋め込まれた EFI ドライバー、ACPI 静的テーブル、埋め込み SMM コード、BIOS コードの信頼のコア ルート
  • PCR 1: プラットフォームとマザーボードの構成とデータ。 システム構成に影響を与えるハンドオフ テーブルと EFI 変数
  • PCR 2: オプション ROM コード
  • PCR 3: オプション ROM データと構成
  • PCR 4: マスター ブート レコード (MBR) コードまたは他のブート デバイスからのコード
  • PCR 5: マスター ブート レコード (MBR) パーティション テーブル。 さまざまな EFI 変数と GPT テーブル
  • PCR 6: 状態遷移とウェイク イベント
  • PCR 7: コンピューターの製造元固有
  • PCR 8: NTFS ブート セクター
  • PCR 9: NTFS ブート ブロック
  • PCR 10: ブート マネージャー
  • PCR 11: BitLocker アクセス制御
  • PCR 12 - 23: 将来の使用のために予約済み

Warning

既定のプラットフォーム検証プロファイルから変更すると、コンピューターのセキュリティと管理性に影響します。 プラットフォームの変更 (悪意のある、または承認された) に対する BitLocker の感度は、PCR の包含または除外 (それぞれ) に応じて増減されます。

ネイティブ UEFI ファームウェア構成の TPM プラットフォーム検証プロファイルを構成する

このポリシー設定は、ネイティブの UEFI ファームウェア構成を使用してコンピューター上のオペレーティング システム ドライブのロックを解除する前に、初期ブート コンポーネントを検証するときに TPM が測定する値を決定します。

項目 Info
ポリシーの説明 このポリシー設定では、コンピューターのトラステッド プラットフォーム モジュール (TPM) セキュリティ ハードウェアが BitLocker 暗号化キーをセキュリティで保護する方法を構成できます。
導入 Windows Server 2012 と Windows 8
ドライブの種類 オペレーティング システム ドライブ
ポリシーのパス コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化>オペレーティング システム ドライブ
競合 PCR 7 を省略してこのポリシーを設定すると、[整合性検証のセキュリティで保護されたブートを許可する] グループ ポリシー設定がオーバーライドされ、BitLocker がプラットフォームまたはブート構成データ (BCD) の整合性検証にセキュア ブートを使用できなくなります。

環境で TPM とセキュア ブートを使用してプラットフォームの整合性チェックを行う場合、このポリシーが構成されます。

PCR 7 の詳細については、この記事 の「プラットフォーム構成レジスタ (PCR) について」 を参照してください。
有効になっている場合 BitLocker をオンにする前に、TPM が BitLocker で暗号化されたオペレーティング システム ドライブへのアクセスをロック解除する前に検証するブート コンポーネントを構成できます。 BitLocker 保護が有効な間にこれらのコンポーネントのいずれかが変更された場合、TPM はドライブのロックを解除するための暗号化キーを解放しません。 代わりに、コンピューターに BitLocker 回復コンソールが表示され、ドライブのロックを解除するために回復パスワードまたは回復キーが指定されている必要があります。
無効になっているか、構成されていない場合 BitLocker では、セットアップ スクリプトによって指定された既定のプラットフォーム検証プロファイルまたはプラットフォーム検証プロファイルが使用されます。

リファレンス: ネイティブ UEFI ファームウェア構成用に TPM プラットフォーム検証プロファイルを構成する

このポリシー設定は、コンピューターに互換性のある TPM がない場合、または TPM 保護で BitLocker が既にオンになっている場合は適用されません。

重要

このグループ ポリシー設定は、ネイティブの UEFI ファームウェア構成を持つコンピューターにのみ適用されます。 互換性サポート モジュール (CSM) が有効な BIOS または UEFI ファームウェアを持つコンピューターは、プラットフォーム構成レジスタ (PCR) に異なる値を格納します。 [BIOS ベースのファームウェア構成の TPM プラットフォーム検証プロファイルの構成] グループ ポリシー設定を使用して、BIOS 構成のコンピューターまたは CSM が有効な UEFI ファームウェアを持つコンピューターの TPM PCR プロファイルを構成します。

プラットフォーム検証プロファイルは、0 ~ 23 の範囲の PCR インデックスのセットで構成されます。 既定のプラットフォーム検証プロファイルは、コア システム ファームウェア実行可能コード (PCR 0)、拡張またはプラグ可能な実行可能コード (PCR 2)、ブート マネージャー (PCR 4)、BitLocker アクセス制御 (PCR 11) の変更に対して暗号化キーをセキュリティで保護します。

次の一覧は、使用可能なすべての PCR を示しています。

  • PCR 0: コア システム ファームウェア実行可能コード

  • PCR 1: コア システム ファームウェア データ

  • PCR 2: 拡張またはプラグ可能な実行可能コード

  • PCR 3: 拡張またはプラグ可能なファームウェア データ

  • PCR 4: ブート マネージャー

  • PCR 5: GPT/パーティション テーブル

  • PCR 6: S4 および S5 の電源状態イベントからの再開

  • PCR 7: セキュア ブート状態

    この PCR の詳細については、この記事 の「プラットフォーム構成レジスタ (PCR) について」 を参照してください。

  • PCR 8: 拡張なしで 0 に初期化 (将来の使用のために予約)

  • PCR 9: 拡張なしで 0 に初期化 (将来の使用のために予約)

  • PCR 10: 拡張なしで 0 に初期化 (将来の使用のために予約)

  • PCR 11: BitLocker アクセス制御

  • PCR 12: データ イベントと揮発性の高いイベント

  • PCR 13: ブート モジュールの詳細

  • PCR 14: ブート機関

  • PCR 15 - 23: 将来の使用のために予約済み

Warning

既定のプラットフォーム検証プロファイルから変更すると、コンピューターのセキュリティと管理性に影響します。 プラットフォームの変更 (悪意のある、または承認された) に対する BitLocker の感度は、PCR の包含または除外 (それぞれ) に応じて増減されます。

BitLocker の回復後にプラットフォーム検証データをリセットする

このポリシー設定は、BitLocker の回復後に Windows を起動したときにプラットフォーム検証データを更新するかどうかを決定します。 プラットフォーム検証データ プロファイルは、0 から 23 の範囲のプラットフォーム構成レジスタ (PCR) インデックスのセット内の値で構成されます。

項目 Info
ポリシーの説明 このポリシー設定を使用すると、BitLocker の回復後に Windows を起動したときにプラットフォーム検証データを更新するかどうかを制御できます。
導入 Windows Server 2012 と Windows 8
ドライブの種類 オペレーティング システム ドライブ
ポリシーのパス コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化>オペレーティング システム ドライブ
競合 なし
有効になっている場合 プラットフォーム検証データは、BitLocker の回復後に Windows が起動されると更新されます。
無効にした場合 BitLocker の回復後に Windows が起動されると、プラットフォーム検証データは更新されません。
構成されていない場合 プラットフォーム検証データは、BitLocker の回復後に Windows が起動されると更新されます。

リファレンス: BitLocker 回復後にプラットフォーム検証データをリセットする

回復プロセスの詳細については、 BitLocker 回復ガイドを参照してください。

拡張ブート構成データ検証プロファイルを使用する

このポリシー設定は、プラットフォームの検証中に検証する特定のブート構成データ (BCD) 設定を決定します。 プラットフォーム検証では、プラットフォーム検証プロファイルのデータが使用されます。これは、0 から 23 の範囲のプラットフォーム構成レジスタ (PCR) インデックスのセットで構成されます。

項目 Info
ポリシーの説明 このポリシー設定では、プラットフォーム検証中に検証するブート構成データ (BCD) 設定を指定できます。
導入 Windows Server 2012 と Windows 8
ドライブの種類 オペレーティング システム ドライブ
ポリシーのパス コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化>オペレーティング システム ドライブ
競合 BitLocker がプラットフォーム用のセキュア ブートとブート構成データの整合性検証を使用している場合、[拡張ブート構成データ検証プロファイルの使用] グループ ポリシー設定は無視されます ([整合性検証のセキュリティで保護されたブートを許可する] グループ ポリシー設定で定義されています)。
有効になっている場合 追加の BCD 設定を追加し、指定した BCD 設定を除外できます。 また、包含リストと除外リストを組み合わせることにより、カスタマイズされた BCD 検証プロファイルを作成することもできます。 カスタマイズされた BCD 検証プロファイルを使用すると、BCD 設定を検証できます。
無効にした場合 コンピューターは、Windows 7 で使用される既定の BCD プロファイルと同様の BCD プロファイル検証に戻ります。
構成されていない場合 コンピューターは、Windows の既定の BCD 設定を確認します。

リファレンス: 拡張ブート構成データ検証プロファイルを使用する

ブート デバッグ (0x16000010) を制御する設定は常に検証され、包含リストまたは除外リストに含まれている場合は効果がありません。

以前のバージョンの Windows から BitLocker で保護された固定データ ドライブへのアクセスを許可する

このポリシー設定は、BitLocker To Go リーダーを使用してドライブへのアクセスを許可するかどうか、および BitLocker To Go リーダーをドライブにインストールできるかどうかを制御するために使用されます。

項目 Info
ポリシーの説明 このポリシー設定では、FAT ファイル システムでフォーマットされた固定データ ドライブを、Windows Vista、Windows XP With Service Pack 3 (SP3)、または Windows XP With Service Pack 2 (SP2) を実行しているコンピューターでロック解除および表示できるかどうかを構成できます。
導入 Windows Server 2008 R2 および Windows 7
ドライブの種類 固定データ ドライブ
ポリシーのパス コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化>固定データ ドライブ
競合 なし
[有効] と [構成されていない場合] FAT ファイル システムでフォーマットされた固定データ ドライブは、Windows Server 2008、Windows Vista、SP3 の Windows XP、または SP2 を使用する Windows XP を実行しているコンピューターでロックを解除でき、そのコンテンツを表示できます。 これらのオペレーティング システムには、BitLocker で保護されたドライブへの読み取り専用アクセス権があります。
無効にした場合 FAT ファイル システムでフォーマットされ、BitLocker で保護されている固定データ ドライブは、Windows Vista、Windows XP と SP3、または SP2 の Windows XP を実行しているコンピューターではロックを解除できません。 BitLocker To Go Reader (bitlockertogo.exe) がインストールされていません。

リファレンス: 以前のバージョンの Windows から BitLocker で保護された固定データ ドライブへのアクセスを許可する

このポリシー設定は、NTFS ファイル システムでフォーマットされたドライブには適用されません。

このポリシー設定が有効になっている場合は、[ FAT 形式の固定ドライブに BitLocker To Go Reader をインストールしない ] チェック ボックスをオンにして、固定ドライブから BitLocker To Go リーダーを実行できないようにします。 Id フィールドが指定されていないドライブに BitLocker To Go Reader (bitlockertogo.exe) が存在する場合、または [ 組織の一意の識別子を提供 する] ポリシー設定で指定したのと同じ識別フィールドがドライブにある場合、ユーザーは BitLocker の更新を求め、BitLocker To Go リーダーはドライブから削除されます。 この状況では、Windows Vista を実行しているコンピューターで固定ドライブのロックを解除するには、SP3 を使用する Windows XP、または SP2 を使用する Windows XP では、BitLocker To Go リーダーをコンピューターにインストールする必要があります。 このチェック ボックスがオフの場合、BitLocker To Go Reader が固定ドライブにインストールされ、ユーザーは Windows Vista、Windows XP と SP3、または SP2 で Windows XP を実行しているコンピューターでドライブのロックを解除できます。

以前のバージョンの Windows から BitLocker で保護されたリムーバブル データ ドライブへのアクセスを許可する

このポリシー設定では、BitLocker To Go リーダーを使用しているリムーバブル データ ドライブへのアクセスと、BitLocker To Go リーダーをドライブにインストールできるかどうかを制御します。

項目 Info
ポリシーの説明 このポリシー設定を使用すると、FAT ファイル システムでフォーマットされたリムーバブル データ ドライブを、Windows Vista、Windows XP と SP3、または SP2 を使用する Windows XP を実行しているコンピューターでロック解除および表示できるかどうかを構成できます。
導入 Windows Server 2008 R2 および Windows 7
ドライブの種類 リムーバブル データ ドライブ
ポリシーのパス コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化>リムーバブル データ ドライブ
競合 なし
[有効] と [構成されていない場合] FAT ファイル システムでフォーマットされたリムーバブル データ ドライブは、Windows Vista、Windows XP と SP3、または SP2 の Windows XP を実行しているコンピューターでロックを解除でき、そのコンテンツを表示できます。 これらのオペレーティング システムには、BitLocker で保護されたドライブへの読み取り専用アクセス権があります。
無効にした場合 BitLocker で保護された FAT ファイル システムでフォーマットされたリムーバブル データ ドライブは、Windows Vista、Windows XP と SP3、または SP2 の Windows XP を実行しているコンピューターではロックを解除できません。 BitLocker To Go Reader (bitlockertogo.exe) がインストールされていません。

リファレンス: 以前のバージョンの Windows から BitLocker で保護されたリムーバブル データ ドライブへのアクセスを許可する

このポリシー設定は、NTFS ファイル システムでフォーマットされたドライブには適用されません。

このポリシー設定が有効になっている場合は、[ FAT 形式のリムーバブル ドライブに BitLocker To Go Reader をインストールしない ] チェック ボックスをオンにして、ユーザーがリムーバブル ドライブから BitLocker To Go Reader を実行できないようにします。 Id フィールドが指定されていないドライブに BitLocker To Go Reader (bitlockertogo.exe) が存在する場合、または [組織の一意の識別子を指定 する] ポリシー設定で指定したのと同じ識別フィールドがドライブにある場合、ユーザーは BitLocker の更新を求めるメッセージが表示され、BitLocker To Go リーダーはドライブから削除されます。 この状況では、Windows Vista を実行しているコンピューターでリムーバブル ドライブのロックを解除するには、SP3 を使用する Windows XP、または SP2 の Windows XP では、BitLocker To Go リーダーをコンピューターにインストールする必要があります。 このチェック ボックスがオンになっていない場合は、BitLocker To Go Reader がインストールされている Windows Vista または Windows XP を実行しているコンピューターでドライブのロックを解除できるように、リムーバブル ドライブに BitLocker To Go Reader がインストールされます。

FIPS 設定

FIPS コンプライアンスの連邦情報処理標準 (FIPS) 設定を構成できます。 FIPS コンプライアンスの効果として、ユーザーは回復のために BitLocker パスワードを作成または保存したり、キー保護機能として保存したりすることはできません。 回復キーの使用が許可されています。

項目 Info
ポリシーの説明
導入 WINDOWS Server 2003 と SP1
ドライブの種類 システム全体
ポリシーのパス ローカル ポリシー>セキュリティ オプション>システム暗号化: 暗号化、ハッシュ、署名に FIPS 準拠アルゴリズムを使用する
競合 ターミナル サービスなどの一部のアプリケーションでは、すべてのオペレーティング システムで FIPS-140 がサポートされていません。
有効になっている場合 ユーザーは回復パスワードを任意の場所に保存できません。 このポリシー設定には、AD DS とネットワーク フォルダーが含まれます。 また、WMI または BitLocker ドライブ暗号化セットアップ ウィザードを使用して回復パスワードを作成することはできません。
無効になっているか、構成されていない場合 BitLocker 暗号化キーが生成されない

リファレンス: FIPS 設定

BitLocker に対して暗号化キーが生成される前に、このポリシーを有効にする必要があります。 このポリシーを有効にすると、BitLocker は回復パスワードの作成または使用を禁止するため、代わりに回復キーを使用する必要があります。

オプションの回復キーを USB ドライブに保存できます。 FIPS が有効になっている場合、回復パスワードを AD DS に保存できないため、グループ ポリシーで AD DS バックアップが必要な場合にエラーが発生します。

FIPS 設定は、セキュリティ ポリシー エディター (Secpol.msc) を使用するか、Windows レジストリを編集して編集できます。 管理者のみがこれらの手順を実行できます。

このポリシーの設定の詳細については、「 システム暗号化: 暗号化、ハッシュ、署名に FIPS 準拠アルゴリズムを使用する」を参照してください。

電源管理グループ ポリシー設定: スリープと休止状態

コンピューターの PC の既定の電源設定により、コンピューターはスリープ モードに頻繁に入り、アイドル時に電力を節約し、システムのバッテリ寿命を延ばします。 コンピューターがスリープに移行すると、開いているプログラムとドキュメントがメモリに保持されます。 コンピューターがスリープ状態から再開する場合、暗号化されたデータにアクセスするために PIN または USB スタートアップ キーを使用して再認証する必要はありません。 スリープから再開するときに再認証する必要がない場合は、データ セキュリティが侵害される条件が発生する可能性があります。

ただし、コンピューターが休止状態になるとドライブがロックされ、休止状態から再開するとドライブのロックが解除されます。つまり、BitLocker で多要素認証を使用する場合は、ユーザーが PIN またはスタートアップ キーを指定する必要があります。 そのため、BitLocker を使用する組織では、セキュリティを強化するために、スリープの代わりに休止状態を使用することが必要な場合があります。 この設定は、起動時と休止状態からの再開時に透過的なユーザー エクスペリエンスを提供するため、TPM のみのモードには影響しません。

使用可能なすべてのスリープ状態を無効にするには、[コンピューターの構成>] [管理用テンプレート] [システム>電源管理] にあるグループ ポリシー設定を>無効にします。

  • スリープ時にスタンバイ状態を許可する (S1-S3) (プラグイン)
  • スリープ時のスタンバイ状態の許可 (S1 から S3) (バッテリ)

プラットフォーム構成レジスタ (PCR) について

プラットフォーム検証プロファイルは、0 から 23 の範囲の PCR インデックスのセットで構成されます。 値のスコープは、オペレーティング システムのバージョンに固有にすることができます。

既定のプラットフォーム検証プロファイルから変更すると、コンピューターのセキュリティと管理性に影響します。 プラットフォームの変更 (悪意のある、または承認された) に対する BitLocker の感度は、PCR の包含または除外 (それぞれ) に応じて増減されます。

PCR 7 について

PCR 7 はセキュア ブートの状態を測定します。 PCR 7 では、BitLocker は整合性検証にセキュア ブートを使用できます。 セキュア ブートにより、コンピューターのプリブート環境で、承認されたソフトウェア発行元によってデジタル署名されたファームウェアのみが読み込まれます。 PCR 7 の測定値は、セキュア ブートがオンかどうかと、プラットフォームで信頼されているキーを示します。 セキュア ブートがオンで、ファームウェアが UEFI 仕様に従って PCR 7 を正しく測定する場合、BitLocker は、正確なファームウェアと Bootmgr イメージの測定値が読み込まれた PCR 0、2、4 ではなく、この情報にバインドできます。 このプロセスにより、ファームウェアとイメージの更新の結果として BitLocker が回復モードで起動する可能性が減り、プリブート構成を管理する柔軟性が高まります。

PCR 7 の測定値は、「 付録 A Trusted Execution Environment EFI Protocol」で説明されているガイダンスに従う必要があります。

PCR 7 測定は、Microsoft Surface RT などのモダン スタンバイ (Always On、Always Connected PC とも呼ばれます) をサポートするシステムに必須のロゴ要件です。 このようなシステムでは、PCR 7 測定とセキュア ブートを備えた TPM が正しく構成されている場合、BitLocker は既定で PCR 7 と PCR 11 にバインドします。